Palo Alto Networks est-il couvert par les vulnérabilités de Microsoft Exchange Server SSRF CVE-2022-41040 et CVE-2022-41082 ?

- - Protection contre les vulnérabilités (IPS)
- Anti-Virus PAN-OS

Résumé sur les menaces Unit42 :

https://unit42.paloaltonetworks.com/proxynotshell-cve-2022-41040-cve-2022-41082/#post-125265-_rx7hmjhu7g8j

Le 29/09/2022, Microsoft a annoncé un nouvel exploit 0-day pour le serveur Exchange, également connu sous le nom de ProxyNotShell
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
À l’heure actuelle, Microsoft a connaissance d’attaques ciblées limitées utilisant les deux vulnérabilités pour pénétrer dans les systèmes des utilisateurs.Dans ces attaques, CVE-2022-41040 peut permettre à un attaquant authentifié de déclencher CVE-2022à distance -41082.

Il convient de noter qu’un accès authentifié au serveur Exchange vulnérable est nécessaire pour exploiter avec succès l’une ou l’autre des deux vulnérabilités.  

Couverture:

La signature de vulnérabilité Threat ID 91368 (vulnérabilité Microsoft Exchange ServerSSRF) a été mise à jour dans Application and Threat version 8624 pour une couverture de CVE-2022-41040.

Nous travaillons avec Microsoft et surveillons activement la couverture potentielle pour CVE-2022-41082.  Veuillez garder à l’esprit que cette attaque est une chaîne et que la couverture pour CVE-2022-41040 offre une protection dès le début de la chaîne.

Article du fournisseur
:https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

Mitre
:https://cve.mitre.org/cgi-bin/cvename.cgi?name=-41040 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022
CVE-2022-41082


Atténuations:

Microsoft Exchange Online Les clients n’ont aucune action à entreprendre. Sur site, les clients Microsoft Exchange doivent examiner et appliquer les instructions de réécriture suivantes URL et bloquer les ports Remote PowerShell exposés. 

L’atténuation actuelle consiste à ajouter une règle de blocage dans "IIS Manager -> Default Web Site -> Autodiscover -> Rewrite -> URL Actions » pour bloquer les modèles d’attaque connus. 

Microsoft a confirmé que les instructions de réécriture suivantes URL , qui sont actuellement discutées publiquement, réussissent à briser les chaînes d’attaque actuelles. 

Ouvrez le IIS gestionnaire. 
Développez le site Web par défaut. 
Sélectionnez Découverte automatique. 
Dans l’affichage des fonctionnalités, cliquez sur URL Réécrire. 

Détails des atténuations disponibles


ici :https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/ Détections trouvées ici aussi :
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

Nous mettrons à jour cela au fur et à mesure que les KCS détails apparaîtront.