Microsoft, Exchange server’da keşfedilen ve dün haberi yaptığımız kritik zero-day zafiyeti için bilgilendirme yaptı.
Microsoft, zafiyetin Microsoft Exchange Server 2013, 2016 ve 2019 sürümlerini etkilediğini ve istismar edildiğini açıkladı. CVE-2022-41040 olarak izlenen ilk güvenlik açığı, Server-Side Request Forgery (SSRF) güvenlik açığı iken, CVE-2022-41082 olarak tanımlanan ikinci güvenlik açığı, PowerShell tarafından erişilebilir olduğunda uzaktan kod yürütülmesine (RCE) izin veriyor. CVE-2022-41040 açığından yalnızca kimliği doğrulanmış saldırganlar tarafından yararlanılabileceğini belirtilirken başarılı bir istismar daha sonra CVE-2022-41082 RCE güvenlik açığını tetiklemelerine olanak tanıyor. Zafiyet sadece Microsoft Exchange on premise sistemleri etkilerken Exchange Online kullanıcılarını etkilemiyor.
Microsoft, bir güncelleme üzerinde çalıştıklarını belirtiken güncelleme yayınlana kadar aşağıdaki mitigate ve kontrol adımlarının yapılmasını tavsiye ediyor.
Mitigate ve kontrol adımları
Exchange sunucularının güvenliği ihlal edilip edilmediğini kontrol etmek isteyenlerin, IIS günlük dosyalarını taramak için aşağıdaki PowerShell komutunu kullanabilir.
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'
“.*autodiscover\.json.*\@.*Powershell.*”
{REQUEST_URI}
CVE-2022-41082 ile uzaktan kod yürütmek için Exchange sunucularında PowerShell Remoting’e de erişebilindiğinden, aşağıdaki PowerShell portlarının engellemeleri öneriliyor.
- HTTP: 5985
- HTTPS: 5986
Kaynak:
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
bleepingcomputer.com