CVE-2022-41040 et CVE-2022-41082, les deux vulnérabilités MS Exchange exploitées qui n’ont toujours pas de correctif officiel, ont été ajoutées aux vulnérabilités exploitées connues de CISA (KEV) Catalogue.
Mais pour atténuer le risque d’exploitation jusqu’à ce que les correctifs soient prêts, il faudra de la patience et de la persévérance, car Microsoft révise toujours ses conseils aux administrateurs et aux défenseurs du réseau, et travaille toujours sur les correctifs.
Exchange zero-days : la situation actuelle
CVE-2022-41040 et CVE-2022-41082 ont été documentés publiquement mercredi dernier, par des chercheurs de la société vietnamienne GTSC, et Microsoft peu après est passé à l’action (discernable) en proposant guide client , suivi de une analyse des attaques exploitant les deux vulnérabilités.
Plusieurs modifications ont été apportées aux documents depuis lors, après que l’entreprise a découvert et que d’autres chercheurs ont souligné plusieurs lacunes :
C’est réparé, hoorah. https://t.co/BxQFs4iMZy
— Kevin Beaumont (@GossiTheDog) 1er octobre 2022
Pour mémoire, il s’agit de la section que Microsoft a supprimée du titre ProxyNotShell blog, et n’a pas documenté qu’il l’avait supprimé.
Si vous avez modifié le pare-feu pour empêcher RCE, cela n’a pas fonctionné. https://t.co/p2ClqcLyZE pic.twitter.com/rxokkWz4xz
— Kevin Beaumont (@GossiTheDog) 1er octobre 2022
Et les problèmes sont loin d’être résolus ; les défenseurs doivent s’attendre à d’autres changements bientôt :
Si vous comptez sur l’atténuation MS pour #ProxyNotShell, ça ne marche pas, j’ai vérifié. MS peut vouloir lire le code source Exchange. https://t.co/5ZYrvUTI8q
— Kevin Beaumont (@GossiTheDog) 3 octobre 2022
Ce dernier tweet fait référence au script PowerShell fournissant une atténuation via le Service Exchange d’atténuation d’urgence (EM).
Que devez-vous faire ?
Microsoft affirme que ses analystes des menaces ont observé « une activité liée à un seul groupe d’activités en août 2022 qui a obtenu un accès initial et compromis les serveurs Exchange en enchaînant CVE-2022-41040 et CVE-2022-41082 dans un petit nombre d’attaques ciblées ». et que les attaquants ont piraté moins de 10 organisations dans le monde.
« MSTIC évalue avec un niveau de confiance moyen que le groupe d’activité unique est susceptible d’être une organisation parrainée par l’État », ils ajouté.
L’autre bonne nouvelle est qu’il n’y a toujours pas d’exploits publics pour les deux vulnérabilités.
Mais, selon Microsoft, « les vulnérabilités Exchange antérieures qui nécessitent une authentification ont été adoptées dans les boîtes à outils des attaquants qui déploient des rançongiciels, et ces vulnérabilités sont susceptibles d’être incluses dans des attaques similaires en raison de l’accès hautement privilégié que les systèmes Exchange confèrent à un attaquant. . »
Les défenseurs des entreprises devraient s’attendre à des problèmes via cette voie d’attaque dans un avenir proche, semble-t-il, il est donc conseillé de se tenir au courant de l’évolution de la situation et d’agir le plus rapidement possible une fois les correctifs disponibles.
