🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Ngọk Yêu đã đăng ký tín nhiệm. 🔥                    🔥 Ban Quản lý rừng phòng hộ Núi Cậu Dầu Tiếng đã đăng ký tín nhiệm. 🔥                    🔥 Quỹ Bảo vệ và Phát triển rừng tỉnh Điện Biên đã đăng ký tín nhiệm. 🔥                   

Microsoft xác nhận 2 lỗ hổng zero-day Exchange mới đã bị khai thác trong thực tế

03/10/2022

Microsoft đang điều tra về hai lỗ hổng bảo mật zero-day ảnh hưởng đến Exchange Server 2013, 2016 và 2019 sau khi nhận được các báo cáo về việc khai thác lỗ hổng trong thực tế.

Microsoft cho biết "Lỗ hổng đầu tiên có định danh CVE-2022-41040, liên quan đến vấn đề giả mạo yêu cầu phía máy chủ (SSRF). Lỗ hổng thứ hai có định danh CVE-2022-41082, cho phép thực thi mã từ xa (RCE) nếu kẻ tấn công có thể truy cập PowerShell".

Công ty xác nhận đã phát hiện "các cuộc tấn công có chủ đích" lạm dụng các lỗ hổng để giành được quyền truy cập ban đầu vào các hệ thống được nhắm mục tiêu, nhưng nhấn mạnh rằng cần có quyền truy cập vào Exchange Server bị ảnh hưởng để đạt được khai thác thành công.

Các cuộc tấn công được Microsoft phát hiện cho thấy hai lỗ hổng đã được kết hợp với nhau trong một chuỗi khai thác, với lỗ hổng SSRF cho phép kẻ tấn công đã xác thực có thể thực thi mã tùy ý.

Microsoft lưu ý rằng lỗ hổng chỉ ảnh hưởng đến người dùng Microsoft Exchange theo mô hình ‘on premises’, người dùng Exchange trực tuyến không bị ảnh hưởng.

Công ty nhấn mạnh thêm rằng họ đang tập trung làm việc để đưa ra bản vá cho các lỗ hổng, đồng thời đưa ra giải pháp tạm thời bằng cách thêm một quy tắc chặn (blocking rule) trong IIS Manager để giảm thiểu các mối đe dọa tiềm ẩn.

Các bước để thêm quy tắc chặn:

- Mở IIS Manager > Chọn Default Web Site.

- Trong mục Feature View, nhấp vào URL Rewrite

- Trong phần Actions ở phía bên phải, nhấp vào Add Rule(s)

- Chọn Request Blocking và bấm OK

- Thêm chuỗi .*autodiscover\.json.*\@.*Powershell.*” (Không bao gồm dấu ngoặc kép) trong ô nhập pattern. Chọn Regular Expression ở phần Using và chọn Abort Request ở phần How to block sau đó nhấn OK.

- Mở rộng quy tắc vừa thêm: chọn rule với pattern ở trên và nhấp vào Edit trong phần Conditions (dưới phần Actions), thay đổi Condition input từ {URL} thành {REQUEST_URI}.

Người dùng Microsoft Exchange ‘on premises’ nên triển khai quy tắc chặn ngay lập tức và thường xuyên cập nhật thông tin từ Microsotf để có thể cập nhật bản vá ngay khi chúng được phát hành.

Nguồn: thehackernews.com.

scrolltop