پس از گزارشات از Exploitهای انجام شده، مایکروسافت رسماً اعلام کرد که در حال بررسی دو آسیبپذیری جدید Zero-Day است که روی سرورهای Exchange 2013، ۲۰۱۶ و ۲۰۱۹ تأثیر میگذارند.
مایکروسافت گفت: آسیبپذیری اول که تحت عنوان CVE-2022-41040 شناسایی شده است، یک آسیبپذیری جعل درخواست سمت سرور یا SSRF است و آسیبپذیری دوم که تحت عنوان CVE-2022-41082 شناسایی شده است وقتی PowerShell در دسترس مهاجم باشد امکان اجرای کد از راه دور یا RCE را فراهم میکند.
این شرکت همچنین تأیید کرد که از حملات هدفمند محدود آگاه است که از نقصها بهعنوان سلاح استفاده میکنند تا دسترسی اولیه به سیستمهای هدف را بدست آورند، اما تأکید کرد که برای Exploit موفق، دسترسی با احراز هویت به Exchange Server آسیبپذیر لازم است.
حملاتی که جزئیات آن توسط مایکروسافت اعلام شد نشان میدهند که این دو آسیب در یک زنجیره Exploit به هم متصل شدهاند و SSEF Bug به مهاجم احراز هویت شده اجازه میدهد اجرای کد دلخواه خود را انجام دهد.
مایکروسافت تأکید کرد که بهسرعت در تلاش است که اصلاحات لازم را انجام دهد و از کاربران Microsoft Exchange بهصورت On-Premise خواست که بهعنوان یک راهکار موقت برای اصلاح تهدیدات احتمالی، در ISS Manager یک Rule مسدود کردن اضافه کنند.
جا دارد اشاره شود که کاربران Microsoft Exchange Online تحت تأثیر این مشکل نیستند. مراحل لازم برای اضافه کردن این قاعده بهصورت زیر است:
- IIS Manager را باز کنید
- وبسایت پیشفرض را باز کنید
- Autodiscover را انتخاب کنید
- در قسمت Feature View، روی URL Rewrite کلیک کنید
- در بخش Actions در سمت راست روی Add Rules کلیک کنید
- Request Blocking را انتخاب کرده و روی OK کلیک کنید
- رشتهی “.*autodiscover\.json.*\@.*Powershell.*” را اضافه کنید و روی OK کلیک کنید
- Rules را باز کنید و Ruleی که الگوی “.*autodiscover\.json.*\@.*Powershell.*” را دارد انتخاب کرده و در قسمت Conditions روی Edit کلیک کنید
- ورودی Condition را از {URL} به {REQUEST_URI} تغییر دهید