Webinar:

Detecteren van Phishing met een SOC

Lees verder

Pinewood Security Bulletin – Microsoft Exchange 0-Day Kwetsbaarheden

UPDATE: Pinewood Security Bulletin – Microsoft Exchange 0-Day Kwetsbaarheden

For English, see below

Update

Uit een recent onderzoek van CrowdStrike is gebleken dat de eerder aanbevolen mitigerende maatregelen omtrent twee 0-day kwetsbaarheden in Microsoft Exchange kunnen worden omzeild en dus niet langer bescherming bieden tegen het misbruik van CVE-2022-41080 en CVE-2022-41082. Tevens lijkt deze nieuwe aanvalsmethodiek momenteel actief te worden toegepast in recente Play ransomware incidenten.

Beschrijving

Er zijn twee actief misbruikte 0-Day kwetsbaarheden voor verschillende versies van Microsoft Exchange Server bekend. Een 0-Day kwetsbaarheid is een kwetsbaarheid die onbekend is voor de ontwikkelaar van de betreffende software en waar geen beveiligingsupdate voor beschikbaar is.

De eerste kwetsbaarheid die gekenmerkt wordt als CVE-2022-41040 is een Server-Side Request Forgery (SSRF) kwetsbaarheid die een aanvaller in staat stelt om een onbedoelde functionaliteit van een kwetsbare webapplicatie aan te roepen.

De tweede kwetsbaarheid die gekenmerkt wordt als CVE-2022-41082 stelt een aanvaller in staat om Remote Code Execution (RCE) uit te voeren wanneer deze toegang heeft tot PowerShell.

Belangrijk om te weten is dat een potentiële aanvaller geauthentiseerd op de kwetsbare Exchange Server dient te zijn alvorens de kwetsbaarheden in kwestie kunnen worden misbruikt.

Kwetsbare versies

 Onderstaande producten van Microsoft zijn getroffen door de eerdergenoemde kwetsbaarheden:

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Gebruikers van Microsoft Exchange Online hoeven geen actie te ondernemen.

Oplossing en workarounds

Pinewood adviseert dringend om eventuele kwetsbare Microsoft Exchange Servers zo spoedig mogelijk te voorzien van de meest recente beveiligingsupdate.

Indien de Microsoft Exchange Server tot op heden kwetsbaar is en ter bescherming gebruik heeft gemaakt van de eerder aanbevolen mitigerende maatregelen is het raadzaam om het door CrowdStrike ontwikkelde PowerShell script Rps_Http-IOC.ps1 uit te voeren om eventuele indicators of compromise aan het licht te brengen.

Bronvermelding

Vragen

Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION========

Update

CrowdStrike recently discovered a new exploit method to abuse the two 0-Day vulnerabilities in Microsoft Exchange, bypassing the previously recommended URL rewrite mitigations for both CVE-2022-41080 and CVE-2022-4108. The discovery was part of recent CrowdStrike Services into several Play ransomware intrusions where the common entry vector was confirmed to be Microsoft Exchange.

Description

Two actively exploited 0-Day vulnerabilities in Microsoft Exchange have been reported. A 0-Day vulnerability is a vulnerability that was previously unknown to the developers of the software in question and has no security update available.

The first vulnerability, identified as CVE-2022-41040, is a Server-Side Request Forgery (SSRF) vulnerability which allows an attacker to invoke unintended functionality of a vulnerable web application.

The second vulnerability identified as CVE-2022-41082 allows an attacker to perform Remote Code Execution (RCE) when PowerShell is accessible.

Do note that authenticated access to the vulnerable Exchange Server is necessary to successfully exploit either of the two vulnerabilities.

Vulnerable versions

The following products of Microsoft are vulnerable for the vulnerabilities in question:

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Customers of Microsoft Exchange Online do not need to take any action.

Solutions and workarounds

Pinewood strongly recommends updating vulnerable Microsoft Exchange Servers with the latest security update as soon as possible.

If the Microsoft Exchange Server is currently vulnerable and has used the previously recommended mitigation measures to protect it, it is recommended that you run the PowerShell script Rps_Http-IOC.ps1 developed by CrowdStrike to reveal any possible indicators of compromise.

Extra info

Questions

For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015 261 36 33) or via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl