Twee bevestigde vulnerabilities in Microsoft Exchange

donderdag 29 september 2022 23:21

Acties:

+2 Henk 'm!

Topicstarter

Op Twitter las ik een tweet dat er mogelijk nieuwe exploits aanwezig is in Microsoft Exchange.

Tweet: https://twitter.com/gossithedog/status/1575580072961982464

Artikel: https://www.gteltsc.vn/bl...xchange-server-12715.html

Na wat rondkijken zie ik steeds meer berichten over deze exploits.

Met deze vulnerability kunnen ze via ProxyShell toegang creëren via backdoor waardoor de aanvallers later kunnen inloggen. Impact score staat momenteel op 8.8

Ik hoop dat het makkelijk en snel opgelost kan worden. Het valt wederom weer net voor het weekend.

Update: Microsoft heeft inmiddels ook informatie online staan. Gaat inmiddels op 2 zero day vulnerabilities
https://msrc-blog.microso...icrosoft-exchange-server/

[ Voor 66% gewijzigd door ikbenjoeri op 30-09-2022 12:32 ]

vrijdag 30 september 2022 09:01

Acties:

+1 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Modbreak:Alleen een paar linkjes droppen is niet de beste start voor een discussie. Zou je je topicstart even willen aanvullen met je eigen mening na het lezen van de bronnen, of een andere bijdrage om de topicstart wat aan te vullen?

Laat me ook even horen wat een beter passende Nederlandstalige titel voor het topic zou zijn, dan pas ik die even voor je aan.

[ Voor 22% gewijzigd door Jazzy op 30-09-2022 09:02 ]

Exchange en Office 365 specialist. Mijn blog.

vrijdag 30 september 2022 11:14

Acties:

0 Henk 'm!

ikbenjoeri

Topicstarter

Jazzy schreef op vrijdag 30 september 2022 @ 09:01:
[modbreak]Alleen een paar linkjes droppen is niet de beste start voor een discussie. Zou je je topicstart even willen aanvullen met je eigen mening na het lezen van de bronnen, of een andere bijdrage om de topicstart wat aan te vullen?

Laat me ook even horen wat een beter passende Nederlandstalige titel voor het topic zou zijn, dan pas ik die even voor je aan.[/]

Nieuwe title: 2 bevestigde vulnerabilities in Microsoft Exchange

[ Voor 3% gewijzigd door ikbenjoeri op 30-09-2022 11:58 ]

vrijdag 30 september 2022 12:34

Acties:

+1 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Dank voor je aanvullingen! Goed om alert te zijn, maar denk dat de impact voor de meeste organisaties wel meevalt. Om dit te misbruiken moet je al een compromised account hebben namelijk.

Gelukkig makkelijk op te lossen met die URL rewrite.

Exchange en Office 365 specialist. Mijn blog.

vrijdag 30 september 2022 12:37

Acties:

0 Henk 'm!

Vorkie

Jazzy schreef op vrijdag 30 september 2022 @ 12:34:
Dank voor je aanvullingen! Goed om alert te zijn, maar denk dat de impact voor de meeste organisaties wel meevalt. Om dit te misbruiken moet je al een compromised account hebben namelijk.

Gelukkig makkelijk op te lossen met die URL rewrite.

Impact moet je gewoon als hoog zien - je weet nooit 100% zeker of je geen accounts hebt die gelekt zijn - veel on-prem heeft geen 2FA.

Dus nee, niet downplayen naar MT / de gewone mens en gewoon vol gas die URL rewrite aanpassen en je servers scannen op die bestanden

maandag 10 oktober 2022 14:44

Acties:

+1 Henk 'm!

winux

[UPDATE]
https://msrc-blog.microso...icrosoft-exchange-server/

October 8, 2022 updates:
A correction was made to the string in step 6 and step 9 in the URL Rewrite rule mitigation Option 3. Steps 8, 9, and 10 have updated images.

I.p.v. de eerder genoemde URL rewrite, dient deze gebruikt te worden

code:

1	“(?=.autodiscover)(?=.powershell)” (excluding quotes).

Ook uit te voeren door de nieuwe versie van EOMTv2.ps1 uit te voeren.

https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/

Onderwerpen