記憶體安全週報第111期|微軟釋出Exchange 0day漏洞新的解決方案

安芯網盾發表於2022-10-10

一、Exchange 0day漏洞的緩解措施被繞過!微軟釋出新的解決方案(10.05)

在發現可以輕鬆繞過新披露並積極利用的Exchange Server 中0day漏洞後,Microsoft 已更新其緩解措施。

詳細情況

這兩個漏洞分別被追蹤為CVE-2022-41040和CVE-2022-41082,由於與這家科技巨頭去年修復的另一組名為ProxyShell的漏洞相似,這兩個漏洞被命名為ProxyNotShell。

在野攻擊濫用這些缺陷,組合利用這兩個漏洞,以提升許可權並在被入侵的伺服器上遠端執行程式碼,從而部署Web Shell。 

這家Windows製造商,尚未釋出修復方案,他們承認,自2022年8月以來,可能有一個國家支援的威脅行為者在有限的有針對性的攻擊中將漏洞武器化。 

與此同時,該公司提供了臨時的解決方案,透過IIS管理器中的規則去限制已知攻擊模板,以降低漏洞利用風險。

然而,安全研究員Jang(@testanull)表示,URL模板可以很容易地被繞過,高階漏洞分析師Will Dormann指出,這個阻止緩解措施“過於精確,因此不足”。 

考慮到這點,微軟修改了URL重寫規則(也可以作為獨立的PowerShell指令碼提供)。

開啟IIS管理器 

選擇預設網站 

在要素檢視中,單擊URL重寫 

在右側的操作窗格中,單擊新增規則 

選擇“請求阻止”,然後單擊“確定” 

新增字串“.* 自動發現\. json. *Powershell.*”(不包括引號) 

選擇“使用”下的“正規表示式” 

在“如何阻止”下選擇“中止請求”,然後單擊“確定

展開規則並選擇具有以下模式的規則:.*autodiscover\. json. *Powershell.*,然後單擊“條件”下的“編輯

將條件輸入從{URL}更改為{REQUEST_URI} 

目前還不清楚微軟計劃何時推出這兩個漏洞的補丁,但有可能在2022年10月11日下週的補丁星期二更新中釋出。

參考連結 

https://thehackernews.com/2022/10/mitigation-for-exchange-zero-days.html

二、嚴重的WhatsApp漏洞可能會允許攻擊者遠端入侵裝置(9.28)

WhatsApp釋出了安全更新,以解決其Android和iOS訊息應用程式中的兩個漏洞,這兩個漏洞可能導致在易受攻擊的裝置上遠端執行程式碼。

詳細情況

WhatsApp釋出了安全更新,以解決其Android和iOS訊息應用程式中的兩個漏洞,這兩個漏洞可能導致在易受攻擊的裝置上遠端執行程式碼。 

其中一個漏洞為CVE-2022-36934(CVSS評分:9.8):WhatsApp中存在一個嚴重的整數溢位漏洞,僅透過建立影片呼叫即可導致執行任意程式碼。 

該問題影響了版本號2.22.16.12之前的Android和iOS的WhatsApp和WhatsApp。

Meta-owned訊息平臺還修補了一個整數下溢錯誤,它是指當操作結果太小而無法在分配的記憶體空間中儲存值時發生的相反類別的錯誤。 

該高危漏洞CVE編號為CVE-2022-27492(CVSS評分:7.8)影響版本號2.22.16.12之前的Android版WhatsApp和版本號2.22.15.9之前的iOS版WhatsApp,並可能在收到特製影片檔案時觸發。

利用整數上溢和下溢進是導致惡意行為、記憶體損壞和程式碼執行的基礎。 

WhatsApp沒有透露這些漏洞的更多細節,但網路安全公司Malwarebytes表示,這些漏洞位於兩個名為“影片呼叫處理程式”和“影片檔案處理程式”的元件中,這可能會讓攻擊者控制該應用程式。

WhatsApp的一位發言人告訴《The Hacker News》,“我們自己發現了(這些漏洞),沒有任何被利用的證據。” 

對於希望在受感染裝置上植入惡意軟體的威脅參與者來說,WhatsApp 上的漏洞可能是一個有利可圖的攻擊媒介。2019年,以色列間諜軟體製造商NSO Group利用一個音訊呼叫漏洞植入飛馬間諜軟體。

參考連結

https://thehackernews.com/2022/09/critical-whatsapp-bugs-could-have-let.html


相關文章