Introdução
No dia 30 de setembro a Microsoft divulgou duas novas vulnerabilidades em seu servidor de e-mails Microsoft Exchange sendo utilizadas em conjunto em ataques por grupos hackers chineses.
A brecha de segurança detectada tem uma similaridade com a vulnerabilidade conhecida por ProxyShell (CVE-2021-34473) descoberta em 2021. Microsoft Exchange 2019 e versões anteriores são vulneráveis a este ataque de falsificação de solicitação (SSRF) e execução remota de código. Um invasor autenticado pode usar a combinação dessas duas vulnerabilidades para elevar privilégios e executar código arbitrário no servidor Exchange de destino.
A vulnerabilidade do Microsoft Exchange
As novas vulnerabilidades foram batizadas de ProxyNotShell e descritas como CVE-2022-41082 e CVE-2022-41040. As vulnerabilidades podem ser usadas em conjunto e permitem executar comandos remotos e obter acesso administrativo ao servidor de e-mails. Além disso, permite a instalação de um backdoor para perpetuar o acesso ao ambiente e escalar privilégios no servidor além de permitir o movimento lateral no ambiente da empresa.
Versões afetadas
A Microsoft confirmou que os sistemas Microsoft Exchange Server 2013, 2016 e 2019 foram afetados e estão sendo explorados no momento. A gigante da tecnologia compartilhou orientações temporárias de mitigação e detecção e disse que está “trabalhando em um cronograma acelerado para lançar uma correção”. Até o momento não patch de correção disponível para seus clientes. Clientes do serviço em nuvem Microsoft Office 365 não estão expostos.
Como identificar a vulnerabilidade do Microsoft Exchange
Empresas que possuem Webmail (Outlook Web Access) disponível para internet devem mitigar a falha com urgência. Para identificar se seu Microsoft Exchange está vulnerável utilize os Scripts Nmap da ferramenta NSE-exchange para verificar a vulnerabilidade CVE-2022-44228. Os scripts verificam se é possível executar um comando remotamente.
nmap -sV -T4 -v –script=http-vuln-cve-2022 IP_do_MS-Exchange
Solução de contorno para a vulnerabilidade
Os clientes do Exchange Server devem realizar a mitigação da falha de segurança da regra de URLRewrite para CVE-2022-41040 e desabilitar o PowerShell remoto para não administradores, conforme descrito na CVE-2022-41082. Maiores detalhes sobre a mitigação da vulnerabilidade no blog da Microsoft:
Solução definitiva
Até o momento ( 07/10) não há pacote de correção disponibilizado pela fabricante. Recomendamos atualizar prontamente seja disponibilizado.
Assine nossa Newsletter!
Receba por e-mail os nossos melhores conteúdos sobre segurança da informação.
[contact-form-7 id="3252" title="Newsletter"]
