Due nuove vulnerabilità 0-day minacciano i server Microsoft Exchange di tutto il mondo. Secondo quanto riportato da Microsoft tali vulnerabilità sarebbero attualmente sfruttate in attacchi mirati.

Exchange, popolare servizio di Mail Server prodotto dalla Microsoft, è vittima di recente di due pericolose vulnerabilità 0-day, che secondo quanto riportato direttamente dal produttore, vengono attualmente sfruttate in alcuni attacchi mirati.

Le due vulnerabilità permettono ad un attaccante remoto in possesso di credenziali valide all’interno del sistema Exchange (solitamente indirizzo E-Mail e password di accesso) di prendere il controllo completo del sistema, con la conseguente perdita della confidenzialità e della riservatezza dei dati contenuti nel sistema Exchange. A seguito della compromissione del sistema l’attaccante può di conseguenza potenzialmente compromettere l’intera rete al cui interno è ospitato il sistema Microsoft Exchange.

Alle due vulnerabilità è stato assegnato il nome di “ProxyNotShell”, a causa di molte similitudini con un altro problema di sicurezza scoperto circa 1 anno fa sempre sui sistemi Microsoft Exchange, a cui era stato assegnato il nome di “ProxyShell”. Le vulnerabilità riguardano tutti i sistemi al cui interno è presente la versione 2013, 2016 e 2019 di Microsoft Exchange Server che espone su internet l’applicazione web “Outlook”. Per sfruttare la vulnerabilità, come detto in precedenza, sono necessarie credenziali di accesso valide all’accesso ad una casella E-Mail.

Alle due vulnerabilità sono stati assegnati i seguenti CVE:

• CVE-2022-41040: Microsoft Exchange Server Elevation of Privilege Vulnerability (CVSS score: 8.8)
• CVE-2022-41082: Microsoft Exchange Server Remote Code Execution Vulnerability (CVSS score: 8.8)

Nonostante attualmente non esista una correzione completa delle vulnerabilità, il personale di Microsoft ha rilasciato delle linee guida su come mitigare la problematica sui propri sistemi. Riportiamo di seguito le istruzioni rilasciate da Microsoft:

• Aprire IIS Manager
• Selezionare il sito Web di default
• Nella sezione Feature View, selezionare URL Rewrite
• Nel menù Actions selezionare Add Rule(s)
• Selezionare Request Blocking e premere OK
• Aggiungere la stringa ".*autodiscover\.json.*\@.*Powershell.*" (escludendo le virgolette)
• Selezionare Regular Expression sotto Using
• Selezionare Abort Request sotto la sezione How to block e quindi premere OK
• Espandere la regola e selezionare la regola con il pattern .*autodiscover\.json.*\@.*Powershell.* , premere Edit sotto Conditions.
• Cambiare la Condition input da {URL} a {REQUEST_URI}

Inoltre, come misure di prevenzione aggiuntive, Microsoft consiglia l’attivazione della multi-factor authentication (MFA), la disattivazione di tutti i protocolli legacy di autenticazione ed una corretta istruzione degli utenti a non accettare eventuali richieste di autenticazione a due fattori non previste o provenienti da fonti non attendibili.

Per un aggiornamento sulla situazione ed una guida più approfondita su come mitigare le vulnerabilità sui vostri sistemi Exchange,vi consigliamo di consultare la guida ufficiale rilasciata dal personale di Microsoft, visitando questo collegamento.

Vi ricordiamo che la vulnerabilità è presente solo sulle versioni “on-premise” di Exchange mentre non risulta essere presente nelle versioni cloud del servizio (Microsoft 365/Ex Office 365).

Il nostro consiglio in merito è quello di applicare tutte le correzioni temporanee rilasciate da Microsoft, utilizzare sempre l’autenticazione a 2 fattori (MFA) e tenere costantemente sotto controllo i log di sistema verificando puntualmente la presenza della stringa “Powershell”.