As falhas foram descobertas pela empresa vietnamita de cibersegurança GTSC. A companhia estava trabalhando em resposta a um incidente reportado por um cliente em agosto de 2022 quando identificou as vulnerabilidades. Uma das falhas recebeu o código CVE-2022-41040. Ela é do tipo falsificação de requisição server-side (SSRF, na sigla em inglês). A outra foi chamada CVE-2022-41082 e permite que um atacante com acesso ao PowerShell execute códigos de modo remoto. A Microsoft diz que os agentes mal-intencionados precisam de acesso autenticado, como credenciais roubadas, para tirar proveito das vulnerabilidades. Elas afetam servidores on-premise com Exchange 2013, 2016 e 2019. A GTSC, porém, relata que os cibercriminosos conseguiram unir as duas falhas e atacar “lateralmente” a rede, usando uma máquina comprometida para ter acesso a outras conectadas. A empresa de segurança Trend Micro classificou a gravidade das vulnerabilidades em 8,8 e 6,3, em uma escala que vai de zero a dez, sendo dez o mais grave.
Microsoft ainda não liberou correção
O Microsoft Exchange é um serviço de e-mail corporativo para empresas, que pode ser instalado nos próprios servidores. Apesar de reconhecer as falhas, a Microsoft disponibilizou apenas mitigações e detecções para que os consumidores possam se proteger das vulnerabilidades. A empresa diz trabalhar com um “cronograma acelerado” para liberar o reparo. O passo a passo da mitigação sugerida pela Microsoft está disponível no blog do Microsoft Security Response Center. Para detecção, a empresa sugere as ferramentas Sentinel, Defender for Endpoint e Defender Antivirus, todas dela mesma.
Hackers chineses podem estar por trás de ataques
A GTSC suspeita que um grupo chinês pode estar por trás dos ataques sofridos por seus clientes. Um motivo para isso é que a página de código (ou codepage) do webshell usa codificação para caracteres chineses. Além disso, os atacantes usaram o webshell China Chopper, comum em ataques feitos com apoio do estado chinês. Com informações: Microsoft Security Response Center, TechCrunch.
