Outra execução remota de código no MS-Exchange
Mais uma vez, duas vulnerabilidades graves atingiram o Microsoft do Exchange Server: com uma gravidade de 8,8 e 6,3 no Common Vulnerability Score System, as vulnerabilidades não corrigidas anteriormente (CVE-2022-41040 e CVE-2022-41082) são uma ameaça a todos os servidores que dependem do sistema de correio eletrônico Microsoft.
Como agora elas também estão sendo ativamente exploradas por invasores, os administradores afetados devem certificar-se de implementar a solução alternativa do blog do Microsoft imediatamente até que o fabricante tenha corrigido o problema. As vulnerabilidades já foram descobertas no final de setembro pela empresa de segurança GTSC, e uma correção da Microsoft ainda está pendente.
Afetados: Exchange 2013, 2016 e 2019
Todas as instalações locais do Microsoft Exchange Server versões 2013, 2016 e 2019 são afetadas, incluindo servidores totalmente corrigidos e bem mantidos. Os clientes e produtos da grommunio não são afetados por essa vulnerabilidade.
De acordo com a admissão do fornecedor, a falha (aqui está o relatório BSI constantemente atualizado) permite a “execução remota de código para contas autenticadas”, ou seja, a execução de código arbitrário por meio de contas de usuário. A solução alternativa recomendada aconselha fortemente todos os clientes locais do Microsoft a desativar o acesso remoto ao Powershell (a linha de comando do sistema Windows) para usuários não privilegiados. Atualmente, essa é a única maneira de evitar que os invasores abusem dessas contas e causem sérios danos ao servidor ou à rede local.
As medidas iniciais do Microsoft são insuficientes
Os especialistas em segurança continuam a investigar o problema e a compartilhar suas descobertas principalmente no Twitter. A hashtag associada é #proxynotshell, em referência a outros incidentes de segurança no Exchange de 2021. O conselho que o BSI e o Microsoft adotaram para “bloquear” todos os usuários não privilegiados do Powershell também veio pelo Twitter, depois que a atenuação inicialmente proposta pelo Microsoft comprovadamente não levou ao sucesso.
Teste o grommunio em seu próprio servidor gratuitamente.
Atualização
12. Outubro: Ao contrário do esperado, o Microsoft não forneceu um patch para a vulnerabilidade em seu último patchday (em 11 de outubro). Após as soluções alternativas problemáticas e depois que os hackers já estão explorando ativamente as vulnerabilidades, o Microsoft agora está enfrentando falhas de segurança mais graves no Windows, Hyper-V e Office. A postagem no blog do Security Response Center da Microsoft é atualizada continuamente pela empresa norte-americana, e a última entrada é de 9 de outubro.
