Уязвимость BDU:2022-06033

Дата: 30.09.2022. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-06033.

Наименование уязвимости: Уязвимость почтового сервера Microsoft Exchange Server, связанная с ошибками управления генерацией кода, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость почтового сервера Microsoft Exchange Server связана с ошибками управления генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Прикладное ПО информационных систем Microsoft Corp. Microsoft Exchange Server 2016 | Прикладное ПО информационных систем Microsoft Corp. Microsoft Exchange Server 2013 | Прикладное ПО информационных систем Microsoft Corp. Microsoft Exchange Server 2019 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 30.09.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Компенсирующие меры:
— выполнение следующих шагов:
1. Открыть диспетчер IIS.
2. Развернуть веб-сайт по умолчанию.
3. Выбрать «Автообнаружение».
4. В представлении функций нажать «Перезаписать URL».
5. На панели «Действия» справа нажать «Добавить правила».
6. Выбрать «Блокировка запроса» и нажать «ОК».
7. Добавить строку «.*autodiscover.json.*@.*Powershell.*» (без кавычек) и нажать «ОК».
8. Развернуть правило и выбрать правило с шаблоном «.*autodiscover.json.*@.*Powershell.*» и нажать «Изменить» в разделе «Условия».
Изменить ввод условия с {URL} на {REQUEST_URI};
— блокировка HTTP-портов 5985 и 5986.

Для проверки компрометации сервера запустить следующую команду PowerShell:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover.json.*@.*200'

Использование рекомендаций:
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2022-41082.

Тип ошибки CWE: CWE-94
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *