Microsoft Exchange: scovate e confermate due nuove falle 0-Day

Microsoft ha da poco comunicato l’esistenza di due vulnerabilità 0-Day segnalate in Microsoft Exchange Server 2013, 2016 e 2019 che sono già state sfruttate per la messa in atto di attacchi malevoli, per installare la già nota China Chopper web shell al fine di compromettere i server degli attaccati.

Microsoft Exchange: due falle permettono di installare webshell e backdoor

A segnalare in primo luogo la cosa sono stati i ricercatori di sicurezza di GTSC e subito dopo è giunta la conferma da parte del colosso di Redmond, ma chiaramente nessun dettaglio tecnico è stato divulgato. È stato tuttavia promesso il rilascio di un correttivo il prima possibile.

Andando più in dettaglio, i ricercatori di GTSC hanno rilevato un attacco durante le attività di supporto a un cliente, nei log di IIS (Internet Information Services) in cui sono state scoperte delle richieste nel medesimo formato delle vulnerabilità ProxyShel.

La prima falla, siglata come CVE-2022-41040, è una vulnerabilità SSRF (Server-Side Request Forgery) che può permettere di indurre l'applicazione lato server a effettuare richieste HTTP a un dominio arbitrario.

La seconda, identificata come CVE-2022-41082, consente l'esecuzione di codice remoto (RCE) quando PowerShell è accessibile all'attaccante. Può eseguire comandi di sistema, scrivere, modificare, eliminare o leggere file.

Da tenere presente che il colosso di Redmond ha fatto sapere che per il momento i clienti di Microsoft Exchange Online non devono effettuare alcuna azione, in quanto le falle 0-Day hanno effetto solamente sulle istanze di Microsoft Exchange dei server Exchange presenti nelle aziende colpite.