@2022 - All Right Reserved. Designed and Developed by PenciDesign

Home Microsoft Exchange Nuovo Zero-day in MS Exchange sfruttato per attacchi reali
Microsoft ExchangeNewsNews Sicurezza

Nuovo Zero-day in MS Exchange sfruttato per attacchi reali

da Alvise C.
da Alvise C. 0 commenti Offrici un Caffè

Microsoft Exchange ha una nuova vulnerabilità zero-day sfruttata per attacchi in-the-wild, ovvero in attacchi reali. Vediamo di cosa si tratta e come intervenire per mitigare e mettere in sicurezza i sistemi in attesa di una patch correttiva.

Due vulnerabilità individuate nella versione 2013, 2016 e 2019

La prima vulnerabilità, come spiegato da Microsoft, riguarda l’SSRF (Server Side Request Forgery) mentre la seconda permette l’esecuzione di codice powershell da remoto.

Secondo lo studio condotto dai ragazzi di GTSC, questi zero-day lavorano in successione per distribuire shell web cinesi con l’obiettivo di rubare i dati e infettare le reti dove riescono a penetrare.

L’attacco avviene in due fasi, nella prima viene inviata una richiesta con questo formato:

autodiscover/[email protected]/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%[email protected].

Una volta cliccato su link l’attaccante ha accesso all’RCE da dove può proseguire con l’attacco. Vediamo ora come intervenire per mitigare i sistemi in attesa di una patch ufficiale da parte di Microsoft.

Come mettere in sicurezza i sistemi?

La mitigazione è la seguente, vediamo quali sono i passaggi da fare.

  • Aprire le impostazioni o gestione IIS nel server Exchange
  • Andare nei siti in uso e cercare Autodiscover
  • Aprire la voce Url Rewrite
  • Creare una nuova regola dando il blocco come Percorso URL, blocco richiesta che corrisponde al pattern ed inserire questo percorso:
    • .*autodiscover\.json.*\@.*Powershell.*
  • Impostarla come espressione regolare (da immagine)
rewrite

Ora impostare una condizione di applicazione della regola, impostando come pattern sempre “.*autodiscover\.json.*\@.*Powershell.*” e come input {REQUEST_URI}

condition if

Dare OK alla fine. Microsoft suggerisce inoltre di bloccare le porte:

  • HTTP: 5985
  • HTTPS: 5986

Per verificare invece la compromissione del sistema lanciare questo comando powershell:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

Via: BP

Offrici un Caffè

Offri un caffè all'autore di questo post

Offrici un Caffè
Potresti Leggere:

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica. In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino. In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue. Per info: [email protected]

Non perdere questi contenuti:

Meta è dalla parte di crea?

4 soluzioni per Spotify Questo brano non e’...

Segnalati Problemi con la Protezione dell’autorità di protezione...

Abilitare o Disabilitare Protezione LSA in Windows 11

9 alternative gratuite a Microsoft Outlook

Problemi con la barra start dopo il cumulativo...

“Star Wars: The Deckbuilding Game”: cosa ne pensiamo?

4 migliori software di editing video per i...

Lascia un commento