Aktívan kihasznált 0day Exchange sérülékenységre figyelmeztetnek

Bug
 

Linkek:

Request URL: https://msrc-blog.microsoft.com/wp-content/uploads/2022/09/1.png
Request Method: GET
Status Code: 200 
Remote Address: 13.107.219.44:443
Referrer Policy: strict-origin-when-cross-origin
accept-ranges: bytes
content-length: 426134
content-type: image/png
date: Fri, 30 Sep 2022 13:39:24 GMT
etag: "a7df20ef9ad4d81:0"
last-modified: Fri, 30 Sep 2022 07:04:50 GMT
x-azure-ref: 
x-cache: CONFIG_NOCACHE

last-modified mező , bár lehet a képeket is újratöltötték 30-án :P (csak nem valószínű, a képek közti egy-két perces eltérésből arra tippelnék, hogy akkor készült a cikk :))

Ja, hogy a CDN-re mikor került, hát én ebből sok mindent nem vonnék le.

De ha tényleg ezen akarunk pörögni, akkor tegyük hozzá, hogy a GMT 07:04, az mondjuk Los Angeles-ben 00:04, ami akár azt is jelentheti, hogy még éjfél előtt készült a cikk, majd a képek 4 perccel később kerültek hozzá. (ráadásul, ha azt mondod a képek között perces különbségek vannak, akkor valóban külön kerültek fel a szövegtől, egyenként)

De hülyeség az egész, francot se érdekli, hogy pár órával előbb vagy később készült-e a cikk, van rá workaround és mitigation, ráadásul faék egyszerűségű.

Nem akarlak megzavarni, de az eredeti bejelentés 28-án kelt:

https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day…

Abban pedig arról van szó, hogy már _aktívan kihasználják_ a hibát. 2022 augusztus _eleje_ óta. Azt mondod, hogy a Microsoft gyorsan reagált, amikor szeptember 29-én vagy 30-án egy workaround-ot tett közzé?!

A Microsoft 23 nappal ezelőtt már tudott a problémáról (ZDI-CAN-18333):

https://www.zerodayinitiative.com/advisories/upcoming/

GTSC submitted the vulnerability to the Zero Day Initiative (ZDI) right away to work with Microsoft so that a patch could be prepared as soon as possible.

A ZDI, miután megveszi a sérülékenység részleteit a felfedezőtől, azonnal értesíti a gyártót (eladja neki az infót).

The following is a list of vulnerabilities discovered by Zero Day Initiative researchers that are yet to be publicly disclosed. The affected vendor has been contacted on the specified date and while they work on a patch for these vulnerabilities, Trend Micro customers are protected from exploitation by IPS filters delivered ahead of public disclosure. Trend Micro customers are additionally protected against 0day vulnerabilities discovered by our own researchers.

Tehát majd' 1 hónapja lyukasak a rendszerek úgy, hogy aktívan támadják őket, a Microsoft tud a hibáról, de javítás nincs. Egy workaround-ot publikált majdnem egy hónappal később, miután nyilvánosságra hozták a részleteket. Feltehetően azért, hogy nyomást gyakoroljanak a Microsoftra ...

Erre te azt mondod, hogy ez gyors?!

trey @ gépház

( quash | 2022. 09. 30., p – 21:28 )

Valaki amúgy beleszaladt már?

4 Exchange szervert néztünk gyorsan át, egyik logjaiban sem volt szerencsére semmi.
Mindegyik előtt van nginx, ott sem.

URL rewrite-os "javítást" megcsináltuk, a biztonság kedvéért nginx-ben is, de ettől még nem érzem úgy hogy ez most JÓ! :D

( dcsaba v | 2022. 10. 01., szo – 00:24 )

Kb a világon minden nagyvállalat használja. Miért ilyen fos és miért nem tudtak jobbat csinálni egyéb fejlesztők?

Mióta van exchange online (kb 10 éve) azóta van lejtmenetben a szerver exchange.

Nope. Az a cucc világ életében egy foskupac volt (csak olyan standard MS-minőség). Még emlékszem, hogy az első munkahelyemen (1998) egy külön embert kellett felvenni azért, hogy legyen, aki az Exchange-et folyamatosan simogatja, hogy ne essen-keljen állandóan.