Update 11-10-2022
Microsoft heeft berichten bevestigd over twee zero-day kwetsbaarheden in Microsoft Exchange Server die in het wild zijn uitgebuit. Patches zijn nog niet beschikbaar.
bronnen: Access42, Tenable en Microsoft
Op 28 september publiceerde GTSC Cybersecurity Technology Company Limited een blogpost (Engelse vertaling later gepubliceerd) over hun ontdekking van twee zero-day kwetsbaarheden in Microsoft Exchange Server. Volgens GTSC ontdekte zijn Security Operations Center de exploitatie in augustus 2022 tijdens zijn “security monitoring & incident response services”.
GTSC meldde deze kwetsbaarheden via het Zero Day Initiative (ZDI) van Trend Micro, maar omdat het meer aanwijzingen zag voor exploitatie tegen andere doelwitten, besloot het informatie over de gebreken te publiceren, samen met aanwijzingen voor compromittering en richtlijnen voor risicobeperking om organisaties te helpen zich tegen aanvallen te verdedigen.
Laat op 29 september bevestigde Microsoft de kwetsbaarheden en kende CVE’s toe – CVE-2022-41040 en CVE-2022-41082 – maar heeft nog geen patches vrijgegeven.
CVE-2022-41040 is een geauthenticeerde kwetsbaarheid voor server-side request forgery in Microsoft Exchange Servers die door ZDI een CVSSv3-score van 6,3 heeft gekregen. Exploitatie van CVE-2022-41040 zou een aanvaller in staat kunnen stellen CVE-2022-41082 te exploiteren.
CVE-2022-41082 is een geauthenticeerde kwetsbaarheid voor code-uitvoering op afstand, die een CVSSv3-score van 8,8 heeft gekregen. Het lijkt sterk op ProxyShell, een keten van drie kwetsbaarheden in Exchange Server ontdekt door Orange Tsai in 2021. De oorspronkelijke ProxyShell-aanvalsketen vereiste echter geen authenticatie, terwijl CVE-2022-41082 dat wel doet.
Looks like a neat variant!
— Orange Tsai 🍊 (@orange_8361) September 29, 2022
Voor zover we kunnen zien is niet iedereen direct kwetsbaar:
Het team van GTSC gaf details over de post-exploitatieactiviteit die het waarnam bij aanvallen waarbij van deze kwetsbaarheden gebruik werd gemaakt, maar zorgde ervoor geen gedetailleerde proof-of-concept (PoC) te publiceren. Er is nog geen openbare PoC vastgesteld.
Op het moment van publicatie heeft Microsoft deze kwetsbaarheden bevestigd, maar geen patches vrijgegeven. Wel heeft het richtlijnen gegeven voor het beperken en opsporen van de kwetsbaarheden. Organisaties die Microsoft Exchange on-prem implementeren moeten de instructies van Microsoft volgen om een nieuwe blokkeringsregel toe te voegen aan de Internet Information Services Manager. We zullen bijgewerkte richtlijnen voor patching en beperking verstrekken zodra deze beschikbaar zijn.
Microsoft heeft een nieuwe rewrite-rule gedeeld (EOMTv2). Het advies luidt om deze nieuwe rule toe te passen en eventuele oude rules te verwijderen. Organisaties die een eerdere versie van het script hebben gebruikt worden dringend geadviseerd de oude rewrite-rule te vervangen door de nieuwe.
Het implementeren van de rewrite-rule om misbruik van CVE-2022-41040 te voorkomen staat los van de mitigerende maatregel voor CVE-2022-41082 waarbij PowerShell-toegang voor standaardgebruikers wordt uitgeschakeld. Het is aan te raden om beide mitigerende maatregelen te implementeren.
https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/
Een lijst van Tenable-plugins om deze kwetsbaarheden te identificeren zal hier verschijnen zodra ze worden vrijgegeven. Deze link gebruikt een zoekfilter om ervoor te zorgen dat alle overeenkomende plugins verschijnen zodra ze zijn uitgebracht.
Cookie | Duration | Description |
---|---|---|
_GRECAPTCHA | 5 months 27 days | This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis. |
cookielawinfo-checkbox-advertisement | 1 year | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement". |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie. |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
Cookie | Duration | Description |
---|---|---|
bcookie | 2 years | This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page. |
lang | session | This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website. |
lidc | 1 day | This cookie is set by LinkedIn and used for routing. |
Cookie | Duration | Description |
---|---|---|
YSC | session | This cookies is set by Youtube and is used to track the views of embedded videos. |
Cookie | Duration | Description |
---|---|---|
_ga | 2 years | This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors. |
_gat_gtag_UA_116473530_1 | 1 minute | This cookie is set by Google and is used to distinguish users. |
_gat_UA-116473530-1 | 1 minute | This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites. |
_gid | 1 day | This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form. |
Cookie | Duration | Description |
---|---|---|
bscookie | 2 years | This cookie is a browser ID cookie set by Linked share Buttons and ad tags. |
IDE | 1 year 24 days | Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile. |
prism_476809757 | 1 month | Used by ActiveCampaign to track usage of newsletters |
test_cookie | 15 minutes | This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 5 months 27 days | This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the video preferences of the user using embedded YouTube video. |
yt-remote-device-id | never | YouTube sets this cookie to store the video preferences of the user using embedded YouTube video. |
Cookie | Duration | Description |
---|---|---|
AnalyticsSyncHistory | 1 month | No description |
CONSENT | 16 years 7 months 5 days 13 hours | No description |
li_gc | 2 years | No description |
UserMatchHistory | 1 month | Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences. |