¿Palo Alto Networks tiene cobertura para (vulnerabilidad de Microsoft Exchange Server SSRF ) CVE-2022-41040 y CVE-2022-41082?

- - Protección contra vulnerabilidades (IPS)
- PAN-OS
Antivirus

Resumen de amenazas de Unit42:

https://unit42.paloaltonetworks.com/proxynotshell-cve-2022-41040-cve-2022-41082/#post-125265-_rx7hmjhu7g8j

El 29/09/2022, Microsoft anunció un nuevo exploit de día 0 para el servidor Exchange que también se conoce como ProxyNotShell
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
En este momento, Microsoft es consciente de los ataques dirigidos limitados que utilizan las dos vulnerabilidades para ingresar a los sistemas de los usuarios.En estos ataques, CVE-2022-41040 puede permitir que un atacante autenticado active CVE-2022-41082 de forma remota.

Cabe señalar que el acceso autenticado al servidor Exchange vulnerable es necesario para aprovechar con éxito cualquiera de las dos vulnerabilidades.  

Cobertura:

La firma de vulnerabilidad Threat ID 91368 (vulnerabilidad de Microsoft Exchange ServerSSRF) se ha actualizado en la versión de aplicación y amenaza 8624 para una cobertura de CVE-2022-41040.

Estamos trabajando con Microsoft y supervisando activamente la cobertura potencial de CVE-2022-41082.  Tenga en cuenta que este ataque es una cadena, y la cobertura CVE-2022para -41040 proporciona protección desde el comienzo de la cadena.

Artículo del proveedor
:https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

Mitre
:https://cve.mitre.org/cgi-bin/cvename.cgi?name=-41040 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022
CVE-2022-41082


Mitigaciones:

Microsoft Exchange Online Los clientes no necesitan realizar ninguna acción. Los clientes locales de Microsoft Exchange deben revisar y aplicar las siguientes URL instrucciones de reescritura y bloquear los puertos de PowerShell remotos expuestos. 

La mitigación actual es agregar una regla de bloqueo en "Manager -> Default Web Site -> Autodiscover -> Rewrite -> URL Actions"IIS para bloquear los patrones de ataque conocidos. 

Microsoft ha confirmado que las siguientes URL instrucciones de reescritura, que actualmente se están discutiendo públicamente, tienen éxito en romper las cadenas de ataque actuales. 

Abra el IIS administrador. 
Expanda el sitio Web predeterminado. 
Seleccione Detección automática. 
En la Vista de características, haga clic en URL Reescribir. 

Los detalles de las mitigaciones se encuentran
aquí:https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/ Detecciones encontradas aquí también:
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

Actualizaremos esto KCS a medida que surjan detalles.