Toinen etäkoodin suorittaminen MS-Exchangeissa
Microsoftin Exchange-palvelimessa on jälleen kerran kaksi vakavaa haavoittuvuutta: Aiemmin korjaamattomien haavoittuvuuksien (CVE-2022-41040 ja CVE-2022-41082) vakavuusaste on 8,8 ja 6,3 Common Vulnerability Score System -järjestelmässä, ja ne uhkaavat kaikkia palvelimia, jotka tukeutuvat Microsoftin sähköpostijärjestelmään.
Koska hyökkääjät käyttävät niitä nyt myös aktiivisesti hyväkseen, asianomaisten ylläpitäjien on varmistettava, että Microsoftin blogissa oleva kiertotie otetaan käyttöön välittömästi, kunnes valmistaja on korjannut ongelman. Tietoturvayhtiö GTSC löysi haavoittuvuudet jo syyskuun lopussa, Microsoftin korjausta odotetaan edelleen.
Vaikutusalaan kuuluvat: Exchange 2013, 2016 ja 2019
Vaikutukset koskevat kaikkia Microsoft Exchange-palvelinversioiden 2013, 2016 ja 2019 paikallisia asennuksia, myös täysin paikattuja ja hyvin ylläpidettyjä palvelimia. Tämä haavoittuvuus ei vaikuta grommunion asiakkaisiin ja tuotteisiin.
Myyjän tunnustuksen mukaan virhe (tässä on jatkuvasti päivitettävä BSI-raportti) mahdollistaa “etäkoodin suorittamisen todennetuille tileille”, eli mielivaltaisen koodin suorittamisen käyttäjätilien kautta. Suositellussa kiertoratkaisussa kehotetaan kaikkia Microsoftin omia asiakkaita poistamaan Powershellin (Windows-järjestelmän komentorivi) etäkäyttöoikeus muilta kuin etuoikeutetuilta käyttäjiltä. Tämä on tällä hetkellä ainoa tapa estää hyökkääjiä käyttämästä näitä tilejä väärin ja aiheuttamasta vakavaa vahinkoa palvelimelle tai paikallisverkolle.
Microsoftin alustavat toimenpiteet ovat riittämättömiä
Tietoturva-asiantuntijat jatkavat ongelman tutkimista ja jakavat havaintojaan lähinnä Twitterissä. Siihen liittyvä hashtag on #proxynotshell, viitaten muihin Exchange-tietoturvatapahtumiin vuodelta 2021. BSI:n ja Microsoftin hyväksymä neuvo “lukita” kaikki ei-oikeutetut käyttäjät pois Powershellista tuli myös Twitterin kautta sen jälkeen, kun Microsoftin alun perin ehdottama lieventämistoimenpide todennettavasti ei johtanut menestykseen.
Testaa grommunio omalla palvelimellasi ilmaiseksi.
Päivitys
12. Lokakuu: Vastoin odotuksia Microsoft ei tarjonnut haavoittuvuuden korjausta viimeisimmän patchday-päivänsä aikana (11. lokakuuta). Ongelmallisten kiertotapojen jälkeen ja sen jälkeen kun hakkerit hyödyntävät haavoittuvuuksia jo aktiivisesti, Microsoftilla on nyt edessään vakavampia tietoturva-aukkoja Windowsissa, Hyper-V:ssä ja Officessa. Yhdysvaltalaisyritys päivittää jatkuvasti Microsoftin tietoturvakeskuksen blogipostausta, viimeisin merkintä on 9. lokakuuta.
