CVE-2022-41040 e CVE-2022-41082, os dois dias zero do MS Exchange explorados que ainda não têm correção oficial, foram adicionados ao Catálogo de Vulnerabilidades Exploradas Conhecidas ( KEV ) da CISA.
Mas mitigar o risco de exploração até que os patches estejam prontos exigirá paciência e obstinação, pois a Microsoft ainda está revisando seus conselhos para administradores e defensores de rede e ainda trabalhando nos patches.
Exchange zero-days: a situação atual
CVE-2022-41040 e CVE-2022-41082 foram documentados publicamente na quarta-feira passada, por pesquisadores da empresa vietnamita GTSC, e a Microsoft logo depois entrou em ação (discernível) oferecendo orientação ao cliente , seguida por uma análise dos ataques que exploram os dois vulnerabilidades.
E os problemas estão longe de terminar – os defensores devem esperar mais mudanças em breve:
Esse último tweet refere-se ao script do PowerShell que fornece mitigação por meio do serviço Exchange Emergency Mitigation (EM) .
O que você deveria fazer?
A Microsoft diz que seus analistas de ameaças observaram “atividade relacionada a um único grupo de atividades em agosto de 2022 que obteve acesso inicial e comprometeu servidores Exchange ao encadear CVE-2022-41040 e CVE-2022-41082 em um pequeno número de ataques direcionados”, e que o invasores invadiram menos de 10 organizações em todo o mundo.
“O MSTIC avalia com confiança média que o grupo de atividade única provavelmente será uma organização patrocinada pelo Estado”, acrescentaram .
A outra boa notícia é que ainda não há exploits públicos para as duas vulnerabilidades.
Mas, a Microsoft diz: “Vulnerabilidades anteriores do Exchange que exigem autenticação foram adotadas nos kits de ferramentas de invasores que implantam ransomware, e essas vulnerabilidades provavelmente serão incluídas em ataques semelhantes devido ao acesso altamente privilegiado que os sistemas Exchange conferem a um invasor”.
Os defensores corporativos devem esperar problemas por meio desse caminho de ataque em um futuro próximo, ao que parece, portanto, é aconselhável manter-se a par da situação em mudança e entrar em ação o mais rápido possível assim que os patches forem disponibilizados.
ATUALIZAÇÃO (outubro de 2022, 06:18 ET):
Os golpistas começaram a se passar por pesquisadores de segurança e a oferecer explorações de PoC inexistentes para CVE-2022-41082 para venda via GitHub:
FONTE: HELPNET SECURITY