Falhas de zero dia do Microsoft Exchange sendo exploradas ativamente

falhas-de-zero-dia-do-microsoft-exchange-sendo-exploradas-ativamente

Os agentes de ameaças estão cada vez mais rápidos em achar “brechas” para seus ataques cibernéticos. As falhas de zero dia são um exemplo claro disso. Inclusive, agora, por exemplo, a Microsoft confirmou que duas falhas de dia zero divulgadas recentemente no Microsoft Exchange estão sendo exploradas ativamente.

Falhas de zero dia do Microsoft Exchange

A Microsoft iniciou imediatamente a investigação sobre as duas vulnerabilidades de dia zero que afetam o Microsoft Exchange Server 2013, 2016 e 2019. A primeira falha, rastreada como CVE-2022-41040, é um problema de SSRF (Server-Side Request Forgery). A segunda vulnerabilidade, rastreada como CVE-2022-41082, permite a execução remota de código (RCE) quando o PowerShell está acessível ao invasor.

A exploração bem-sucedida do CVE-2022-41040 pode permitir que um invasor autenticado dispare remotamente o CVE-2022-41082. “Neste momento, a Microsoft está ciente dos ataques direcionados limitados usando as duas vulnerabilidades para entrar nos sistemas dos usuários. Nesses ataques, o CVE-2022-41040 pode permitir que um invasor autenticado acione remotamente o CVE-2022-41082. Deve-se notar que o acesso autenticado ao Exchange Server vulnerável é necessário para explorar com sucesso qualquer uma das duas vulnerabilidades”, disse a Microsoft em um comunicado.

Correção a caminho

A Microsoft anunciou que está trabalhando para acelerar o cronograma para lançar uma correção que resolva os dois problemas. Enquanto isso, a empresa forneceu as orientações de mitigação e detecção para ajudar os clientes a se protegerem desses ataques.

A Microsoft afirma que os clientes do Microsoft Exchange Online não precisam realizar nenhuma ação, enquanto fornece mitigação para clientes locais do Microsoft Exchange que são os mesmos compartilhados pelo GTSC.

De acordo com a equipe de segurança cibernética vietnamita GTSC, que relatou pela primeira vez os ataques em andamento, as vulnerabilidades são encadeadas para implantar os shells da Web Chopper chineses para persistência e roubo de dados e para se mover lateralmente pelas redes das vítimas.

O GTSC também suspeita que um grupo de ameaças chinês possa ser responsável pelos ataques em andamento com base na página de código dos shells da Web, uma codificação de caracteres da Microsoft para chinês simplificado.

A mitigação atual é adicionar uma regra de bloqueio em “IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions” para bloquear os padrões de ataque conhecidos.

Abaixo está o procedimento passo a passo fornecido pela Microsoft para mitigar o risco de exploração para os problemas acima:

falhas-de-zero-dia-do-microsoft-exchange-sendo-exploradas-ativamente
  1. Abra o Gerenciador do IIS.
  2. Expanda o site padrão.
  3. Selecione Descoberta automática.
  4. Na Exibição de Recurso, clique em Reescrever URL.
  5. No painel Ações à direita, clique em Adicionar Regras.
  6. Selecione Solicitar bloqueio e clique em OK.
  7. Adicione a string “.*autodiscover\.json.*\@.*Powershell.*” (excluindo aspas) e clique em OK.
  8. Expanda a regra e selecione a regra com o Padrão “.*autodiscover\.json.*\@.*Powershell.*” e clique em Editar em Condições.
  9. Altere a entrada de condição de {URL} para {REQUEST_URI}

A Microsoft também recomenda que os clientes bloqueiem as seguintes portas remotas do PowerShell: HTTP: 5985 e; HTTPS: 5986.