Microsoft mengatakan dua bug zero-day Exchange baru di bawah serangan aktif, tetapi tidak ada perbaikan segera

Microsoft telah mengonfirmasi dua kerentanan nol-hari Exchange Server yang belum ditambal sedang dieksploitasi oleh penjahat dunia maya dalam serangan dunia nyata.

Perusahaan keamanan siber Vietnam GTSC, yang pertama kali menemukan kelemahan sebagai bagian dari tanggapannya terhadap insiden keamanan siber pelanggan pada Agustus 2022, mengatakan bahwa dua hari nol telah digunakan dalam serangan terhadap lingkungan pelanggan mereka sejak awal Agustus 2022.

Pusat Respons Keamanan Microsoft (MRSC) mengatakan dalam sebuah posting blog pada Kamis malam bahwa dua kerentanan diidentifikasi sebagai CVE-2022-41040, kerentanan pemalsuan permintaan sisi server (SSRF), sedangkan yang kedua, diidentifikasi sebagai CVE-2022-41082 , memungkinkan eksekusi kode jarak jauh pada server yang rentan saat PowerShell dapat diakses oleh penyerang.

“Saat ini, Microsoft menyadari serangan bertarget terbatas yang menggunakan dua kerentanan untuk masuk ke sistem pengguna,” raksasa teknologi itu menegaskan.

Microsoft mencatat bahwa penyerang akan memerlukan akses yang diautentikasi ke Exchange Server yang rentan, seperti kredensial yang dicuri, agar berhasil mengeksploitasi salah satu dari dua kerentanan, yang memengaruhi Microsoft Exchange Server 2013, 2016, dan 2019 di lokasi.

Microsoft belum membagikan detail lebih lanjut tentang serangan tersebut dan menolak untuk menjawab pertanyaan kami. Perusahaan keamanan Trend Micro memberi dua peringkat keparahan kerentanan 8,8 dan 6,3 dari 10.

Namun, GTSC melaporkan bahwa penjahat dunia maya merantai dua kerentanan untuk membuat pintu belakang pada sistem korban dan juga bergerak secara lateral melalui jaringan yang disusupi. “Setelah berhasil menguasai eksploit, kami merekam serangan untuk mengumpulkan informasi dan membuat pijakan di sistem korban,” kata GTSC.

GTSC mengatakan mencurigai kelompok ancaman China mungkin bertanggung jawab atas serangan yang sedang berlangsung karena halaman kode webshell menggunakan pengkodean karakter untuk bahasa China yang disederhanakan. Penyerang juga telah menyebarkan webshell China Chopper dalam serangan untuk akses jarak jauh yang persisten, yang merupakan pintu belakang yang biasa digunakan oleh grup peretasan yang disponsori negara China.

Peneliti keamanan Kevin Beaumont, yang termasuk orang pertama yang membahas temuan GTSC dalam serangkaian tweet pada hari Kamis, mengatakan dia menyadari kerentanan yang “dieksploitasi secara aktif di alam liar” dan bahwa dia “dapat mengonfirmasi sejumlah besar server Exchange telah di-backdoor.”

Microsoft menolak untuk mengatakan kapan tambalan akan tersedia, tetapi mencatat dalam posting blognya bahwa perbaikan yang akan datang ada pada “garis waktu yang dipercepat.”

Sampai saat itu, perusahaan merekomendasikan agar pelanggan mengikuti langkah-langkah mitigasi sementara yang dibagikan oleh GTSC, yang melibatkan penambahan aturan pemblokiran di Manajer IIS. Perusahaan mencatat bahwa Pelanggan Exchange Online tidak perlu mengambil tindakan apa pun saat ini karena zero-days hanya berdampak pada server Exchange lokal.

Related Posts