Bietet Palo Alto Networks Abdeckung für (Microsoft Exchange Server-Sicherheitsanfälligkeit SSRF ) CVE-2022-41040 und CVE-2022-41082?

- - Schutz vor Sicherheitslücken (IPS)
- Anti-Virus PAN-OS

Unit42 Bedrohungsübersicht:

https://unit42.paloaltonetworks.com/proxynotshell-cve-2022-41040-cve-2022-41082/#post-125265-_rx7hmjhu7g8j

Am 29.09.2022 kündigte Microsoft einen neuen 0-Day-Exploit für den Exchange-Server an, der auch als ProxyNotShell-https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
bekannt ist

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
Zu diesem Zeitpunkt ist Microsoft bekannt, dass die beiden Sicherheitslücken nur begrenzt gezielt angegriffen werden, um in die Systeme der Benutzer einzudringen.Bei diesen Angriffen kann -41040 einen authentifizierten Angreifer in die Lage versetzen, CVE-2022-41082 aus der Ferne auszulösenCVE-2022.

Es ist zu beachten, dass ein authentifizierter Zugriff auf den anfälligen Exchange Server erforderlich ist, um eine der beiden Sicherheitsanfälligkeiten erfolgreich auszunutzen.  

Berichterstattung:

Die Sicherheitsanfälligkeitssignatur Bedrohung ID 91368 (Sicherheitsanfälligkeit in Microsoft Exchange ServerSSRF) wurde in Anwendungs- und Bedrohungsversion 8624 aktualisiert, um die Abdeckung von CVE-2022-41040 zu gewährleisten.

Wir arbeiten mit Microsoft zusammen und überwachen aktiv die potenzielle Abdeckung für CVE-2022-41082.  Bitte beachten Sie, dass es sich bei diesem Angriff um eine Kette handelt und die Abdeckung für CVE-2022-41040 Schutz vom Beginn der Kette an bietet.

Artikel des Anbieters
:https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

Mitre
:https://cve.mitre.org/cgi-bin/cvename.cgi?name=-41040 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022
CVE-2022-41082


Risikominderungen:

Microsoft Exchange Online-Kunden müssen keine Maßnahmen ergreifen. Lokale Microsoft Exchange-Kunden sollten die folgenden URL Anweisungen zum Umschreiben lesen und anwenden und verfügbar gemachte Remote-PowerShell-Ports blockieren. 

Die aktuelle Risikominderung besteht darin, eine Blockierungsregel in " Manager -> Default Web Site -> Autodiscover -> Rewrite -> URL Actions"IIS hinzuzufügen, um die bekannten Angriffsmuster zu blockieren. 

Microsoft hat bestätigt, dass die folgenden URL Rewrite-Anweisungen, die derzeit öffentlich diskutiert werden, erfolgreich sind, um aktuelle Angriffsketten zu durchbrechen. 

Öffnen Sie den IIS Manager. 
Erweitern Sie die Standardwebsite. 
Wählen Sie AutoErmittlung aus. 
Klicken Sie in der Feature-Ansicht auf URL Umschreiben. Details

zu Abhilfemaßnahmen finden Sie
hier:https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/ Erkennungen finden Sie auch hier:
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

Wir werden dies KCS aktualisieren, sobald Details bekannt werden.