Security Week 2240: новая уязвимость zero-day в Microsoft Exchange
На прошлой неделе стало известно о кибератаке, в которой используется новая уязвимость в почтовом сервере Microsoft Exchange. Через два дня после публикации вьетнамской компании GTSC корпорация Microsoft признала наличие проблемы. По факту в Exchange присутствует две уязвимости нулевого дня, которые пока не закрыты. Уязвимость CVE-2022-41040 относится к классу Server-Side Request Forgery и позволяет авторизованному пользователю выполнять на сервере команды PowerShell.
Вторая уязвимость, CVE-2022-41082, обеспечивает выполнение произвольного кода при наличии доступа к PowerShell. Соответственно, их комбинация позволяет получить полный контроль над почтовым сервером. В реальной атаке, проанализированной GTSC, на сервере устанавливался бэкдор для дальнейшего анализа корпоративной сети и кражи данных. Атака очень похожа на набор уязвимостей ProxyShell, обнаруженный весной 2021 года. В том случае также использовалась уязвимость типа SSRF с последующим выполнением произвольного кода. Но есть и важное отличие: атака ProxyShell полностью обходила систему авторизации. Для новой атаки сначала потребуется получить доступ к любой учетной записи в Microsoft Exchange.
Читать дальше →
Вторая уязвимость, CVE-2022-41082, обеспечивает выполнение произвольного кода при наличии доступа к PowerShell. Соответственно, их комбинация позволяет получить полный контроль над почтовым сервером. В реальной атаке, проанализированной GTSC, на сервере устанавливался бэкдор для дальнейшего анализа корпоративной сети и кражи данных. Атака очень похожа на набор уязвимостей ProxyShell, обнаруженный весной 2021 года. В том случае также использовалась уязвимость типа SSRF с последующим выполнением произвольного кода. Но есть и важное отличие: атака ProxyShell полностью обходила систему авторизации. Для новой атаки сначала потребуется получить доступ к любой учетной записи в Microsoft Exchange.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Независимый fashion-ритейл планирует нарастить присутствие в онлайн-каналах в ближайшие 3 года
- Креативная революция: как ИИ переписывает учебники для дизайнеров
- Мусорные клики: Яндекс может избавить нас от них, но нет
- Российское digital-агентство создало первый новостной канал, полностью сгенерированный ИИ
- ВМК МГУ имени М.В. Ломоносова: Исследователи ВМК МГУ предложили бенчмарк для оценки суперразрешения видео при сжатии
- О май гайд, это же ToV
- С 10 июля 2025 года Telegram Ads отменил обязательный минимальный расход для запуска премиальных рекламных форматов
- Spark_news: 21% россиян испытывают тоску по работе во время отпуска
- AlinaTen: Meta приобрела стартап, специализирующийся на клонировании голосов
- [Перевод] «Призраки в коммитах 2»: пылесосим историю Git в поиске утекших секретов