potřebujete poradit? - jsme tady

Zranitelnost Microsoft Exchange Server CVE-2022-41040 (CVSSv3 6.3) CVE-2022-41082 (CVSSv3 8.8)

Sdílej na Facebooku
3.10.2022

Tuto zranitelnost je možné zneužít vzdáleným spuštěním kódu na severu přístupném v síti nebo z internetu bez autentizace. Zranitelnost se týká verzí 2010, 2013, 2016 a 2019. Uživatelé cloudových služeb Exchange Online nejsou zranitelností zasaženi.

Network

 

Proof-of-concept ani exploit zatím nebyl zveřejněn, nicméně v nejbližších dnech hrozí jejich zveřejnění, tudíž by docházelo k plošným útokům.

Mitigace

Není potřeba v případě, kdy neběží Exchange Server on-premise.

Pokud provozujete on-premise Exchange server přístupný z internetu, doporučujeme neprodleně prověřit stav a zavést ochranná opatřen

1. Ujistěte se, zda máte nejaktuálnější verzi Microsoft Exchange Server

2. Zaveďte potřebná opatření:

  • Nastavte přístupová pravidla v IIS modulu URL Rewrite pro blokaci požadavků na "autodiscover.json" dle instrukcí Microsoft:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/.

  • Zablokujte na serveru porty pro službu Remote Powershell (5985, 5986)

3. Prověřte indikátory kompromitace v seznamu níže, zejména je potřeba prověřit logy Exchange server na přístupy obsahující řetězec "'powershell.*autodiscover\.json.*\@.*200".

  • Lze provést např. příkazem Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern  'powershell.*autodiscover\.json.*\@.*20
  • Prověřte přítomnost nelegitimních ASPX souborů sloužící jako webshell v adresářích:
    • C:\ProgramFiles\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth
    • C:\inetpub\wwwroot\aspnet_client\
  • Upozorňujeme, že webshell se může potenciálně nacházet v jakémkoliv jiném adresáři, jedná se pouze o potvrzené lokace používané útočníkem.

4. Prověřte nestandardní aktivitu na Exchange serveru a akce uvnitř sítě, zejména zakládání či změny privilegovaných účtů, zvýšený objem odchozího provozu, skenování či komunikace na jiné stroje v síti.

Proveďte kontrolu indikátorů alespoň od srpna 2022. V případě odhalení kompromitace serveru nebo indikátoru nás kontaktujte na adrese cert.incident@nukib.cz.

Kompletní informace ke zranitelnosti naleznete ZDE.

Zdroj: NÚKIB



Cena:    0 Kč
Něco navíc
máme pro Vás dárek

SPOKOJENÍ ZÁKAZNÍCI

Musím se přiznat, že s tak ochotným a hlavně trpělivým operátorem jsem se už dlouho nesetkal.

Patří mu proto srdečný dík! Domnívám se, že tento neobvyklý přístup operátora k zákazníkovi si zaslouží i zveřejnění


Rudolf Wonka, Litoměřice

#1

Protože jsem laik a nerozumím antivirovým programů velmi si cením s jakou jednoduchostí a elegantností mně dovedla technická podpora předat potřebné informace tak, abych jim porozuměl.

Protože si takového jednání velmi cením, považuji za vhodné poděkovat také Vám za dobře vybraný a proškolený personál.


Roman Jakubík

#2

Chci vám poděkovat
za profesionalitu a za pomoc při instalaci antiviru do počítače.

Moc vám děkuji a zůstáváme nadále vašimi klienty.


Ludmila Ferencová

#3

Moc děkuji za pomoc, už to funguje podle mých představ.

Udělali jste mi radost, že se na vaši podporu mohu spolehnout, to vždy potěší.
Ještě jednou díky a hezký den.


Ivana Stinková
Mělník

#4

Děkuji za odpověď
hned to zkusím.
Pěkné vánoce. Strašně jste mě překvapili rychlou odpovědí.


Dagmar Niklová
Olomučany u Blanska

#5

Dík za pomoc

Konečně jsem KIS nainstaloval. Musím konstatovat, že by se mi to nepodařilo bez vaší pomoci.
Takže ještě jednou díky a hodně zdaru.


Milan Selucký

#6

Dobrý den,

ráda bych Vaším prostřednictvím poděkovala p. Martinovi, který se mi po 2 dny trpělivě věnoval při nastavení antivirového programu.

Je vidět, že umí pracovat nejenom s anti-virem, ale i anti-talentem na PC.

Předejte prosím toto poděkování i jemu nadřízenému pracovníkovi!!


Irena Procházková
MŠ Mezi Domy, Praha

#7

Díky Vašim nástrojům na čištění jsem si mohl vyčistit PC, neboť se neustále zpomaloval a výsledek je pro mne překvapující. Jsem sice laik, ale věřím, že to využívají i odborníci. Děkuji za veškerou tech. pomoc.


Bělík Josef
Praha

#8


Doporučujeme
Eset Nod32 Antivirus, Eset Smart Security Premium, Eset Internet Security

získejte plnou verzi antivirového programu zdarma

Odkazy
Igiho stránka o virech: www.viry.cz

Cílem serveru HOAX.cz je informovat uživatele o šíření poplašných, nebezpečných a zbytečných řetězových zpráv, se kterými se denně setkává a které ohrožují běžné používání internetu.

diallix.net
HW firewall Sophos
Verze Shop-NET: 2.14.9.25

Možnosti platby:

- převodem na účet
- platební kartou
- dobírkou

VISA Maestro VISA Electron MasterCard

Možnosti dodání:

- elektronické licence - zdarma
- dárky k objednávce - zdarma