Microsoft telah berbagi mitigasi untuk dua kerentanan zero-day Microsoft Exchange baru yang dilacak sebagai CVE-2022-41040 dan CVE-2022-41082, tetapi para peneliti memperingatkan bahwa mitigasi untuk server lokal masih jauh dari cukup.
Pelaku ancaman sudah merantai kedua bug zero-day ini dalam serangan aktif untuk menembus server Microsoft Exchange dan mencapai eksekusi kode jarak jauh.
Microsoft berbagi mitigasi untuk server lokal dan rekomendasi kuat bagi pelanggan Exchange Server untuk “menonaktifkan akses PowerShell jarak jauh untuk pengguna “non-admin” di organisasi.”
Untuk mengurangi risiko eksploitasi, Microsoft mengusulkan pemblokiran pola serangan yang diketahui melalui rule di Manajer IIS:
- Buka Manajer IIS.
- Pilih Situs Web Default.
- Di** Feature View**, klik URL Rewrite.
- Di panel Tindakan di sisi kanan, klik Tambahkan Rule….
- Pilih** Permintaan Pemblokiran** dan klik OK.
- Tambahkan string “.autodiscover.json.*@.*Powershell.” (tidak termasuk tanda kutip) lalu klik OK.
- Perluas Rule dan pilih Rule dengan pola “autodiscover.json.*@.*Powershell.” dan klik Edit di bawah Ketentuan.
- Ubah input kondisi dari {URL} menjadi {REQUEST_URI}
Administrator dapat mencapai hasil yang sama dengan menjalankan Alat Mitigasi Exchange di Tempat Microsoft yang diperbarui – skrip yang memerlukan PowerShell 3 atau lebih baru, perlu dijalankan dengan hak istimewa admin, dan berjalan di IIS 7.5 atau yang lebih baru.
Namun rule yang diusulkan Microsoft, bagaimanapun, hanya mencakup serangan yang diketahui, sehingga pola URL terbatas pada mereka.
Peneliti keamanan Jang menunjukkan bahwa solusi sementara Microsoft untuk mencegah eksploitasi CVE-2022-41040 dan CVE-2022-41082 tidak efisien dan dapat dilewati dengan sedikit usaha.
Will Dormann, analis kerentanan senior di ANALYGENCE, juga setuju dengan temuan tersebut dan mengatakan bahwa ‘@’ di blok URL Microsoft “tampaknya tidak perlu tepat, dan karena itu tidak cukup.”
Alih-alih blok URL yang diajukan Microsoft, Jang memberikan alternatif yang kurang spesifik, yang dirancang untuk mencakup serangkaian serangan yang lebih luas:
.*autodiscover\.json.*Powershell.*
Microsoft mengatakan bahwa instruksi mitigasi berlaku untuk pelanggan dengan Exchange Server lokal dan bahwa klien Exchange Online tidak perlu mengambil tindakan apa pun.
Namun, banyak organisasi memiliki penyimpanan hybrid yang menggabungkan lokal dengan penyebaran cloud Microsoft Exchange dan mereka harus memahami bahwa mereka juga rentan.
Peneliti keamanan Kevin Beaumont memperingatkan bahwa selama ada penyebaran Exchange Server di lokasi, organisasi dalam bahaya.
Mengacu pada rantai eksploitasi sebagai ProxyNotShell, Beaumont mengatakan bahwa pengaturan Exchange hybrid “sangat umum” di lingkungan perusahaan dan harus mempertimbangkan tingkat risiko yang mereka hadapi.
Lebih dari 1.200 organisasi ini juga mengekspos penerapan hybrid mereka di web publik. Di antara mereka adalah entitas di sektor keuangan, pendidikan, dan pemerintah, semua target yang sangat menarik bagi peretas yang menjalankan operasi spionase atau pemerasan.
Pada saat penerbitan, Microsoft belum merilis pembaruan untuk memperbaiki dua masalah tetapi menerbitkan nasihat keamanan dengan informasi tentang dampak dan kondisi yang diperlukan untuk eksploitasi.
Microsoft menjelaskan CVE-2022-41040 sebagai kerentanan berisiko tinggi (skor keparahan 8,8/10) yang dapat dimanfaatkan penyerang dengan mudah untuk meningkatkan hak istimewa mereka pada mesin yang terpengaruh tanpa interaksi pengguna apa pun.
Alasan mengapa masalah keamanan ini tidak memiliki skor keparahan yang lebih tinggi adalah karena aktor ancaman perlu diautentikasi.
CVE-2022-41082 memiliki skor tingkat keparahan yang sama tetapi dapat digunakan untuk eksekusi kode jarak jauh pada Server Microsoft Exchange lokal yang rentan oleh penyerang dengan “hak istimewa yang menyediakan kemampuan pengguna dasar” (pengaturan dan file yang dimiliki oleh pengguna) .
Selengkapnya: Bleeping Computer
