هل أنت قلق بشأن يوم الصفر في التبادل؟ إليك ما يجب القيام به ذكاء بيانات PlatoBlockchain. البحث العمودي. عاي.

هل أنت قلق بشأن يوم الصفر في التبادل؟ إليك ما يجب القيام به

الطابع الزمني: 30 سبتمبر 2022 ، الساعة 6:14 مساءً

أكدت مايكروسوفت ثغرتين جديدتين من ثغرات يوم الصفر في Microsoft Exchange Server (CVE-2022-41040 و CVE-2022-41082) يتم استغلالها في "هجمات محدودة وموجهة". في حالة عدم وجود رقعة رسمية ، يجب على المنظمات التحقق من بيئاتها بحثًا عن علامات الاستغلال ثم تطبيق خطوات التخفيف في حالات الطوارئ.

  • CVE-2022-41040 - تزوير الطلب من جانب الخادم ، مما يسمح للمهاجمين المصادق عليهم بتقديم طلبات يتظاهرون بأنهم الجهاز المتأثر
  • CVE-2022-41082 - تنفيذ التعليمات البرمجية عن بُعد ، مما يسمح للمهاجمين المصادق عليهم بتنفيذ PowerShell التعسفي.

"حاليًا ، لا توجد نصوص برمجية معروفة لإثبات المفهوم أو أدوات استغلال متاحة في البرية ،" كتب جون هاموند، صائد التهديد مع Huntress. ومع ذلك ، هذا يعني فقط أن الساعة تدق. مع التركيز المتجدد على الثغرة الأمنية ، فإن الأمر مجرد مسألة وقت قبل أن تصبح برامج استغلال الثغرات الجديدة أو نصوص إثبات المفهوم متاحة.

خطوات كشف الاستغلال

يمكن استخدام الثغرة الأولى - عيب تزوير الطلب من جانب الخادم - لتحقيق الثغرة الثانية - الثغرة الأمنية في تنفيذ التعليمات البرمجية عن بُعد - لكن متجه الهجوم يتطلب من الخصم أن يكون بالفعل مصادقة على الخادم.

وفقًا لـ GTSC ، يمكن للمؤسسات التحقق مما إذا كانت خوادم Exchange الخاصة بها قد تم استغلالها بالفعل عن طريق تشغيل أمر PowerShell التالي:

Get-ChildItem -Recurse -Path -Filter "* .log" | Select-String -Pattern'owershell. * Autodiscover.json. * @. * 200

كما طور GTSC أداة للبحث عن علامات الاستغلال و أطلقها على جيثب. سيتم تحديث هذه القائمة عندما تطلق الشركات الأخرى أدواتها.

أدوات خاصة بـ Microsoft

  • وفقا لمايكروسوفت، هناك استفسارات في Microsoft Sentinel يمكن استخدامها للبحث عن هذا التهديد المحدد. أحد هذه الاستعلامات هو تبادل SSRF Autodiscover ProxyShell الكشف ، الذي تم إنشاؤه ردًا على ProxyShell. الجديد تنزيلات الملفات المشبوهة لـ Exchange Server يبحث الاستعلام تحديدًا عن التنزيلات المشبوهة في سجلات IIS.
  • تنبيهات من Microsoft Defender لنقطة النهاية فيما يتعلق بالتثبيت المحتمل لقشرة الويب ، وقشرة الويب المحتملة لـ IIS ، وتنفيذ عملية Exchange المشبوهة ، والاستغلال المحتمل لثغرات Exchange Server ، والعمليات المشبوهة التي تدل على قشرة الويب ، واحتمال اختراق IIS يمكن أن تكون أيضًا علامات على أن Exchange Server كان للخطر عبر نقطتي الضعف.
  • سيكتشف Microsoft Defender محاولات ما بعد الاستغلال كـ مستتر: ASP / Webshell.Y و مستتر: Win32 / RewriteHttp.A.

أعلن العديد من بائعي الأمان عن تحديثات لمنتجاتهم للكشف عن الاستغلال أيضًا.

قالت Huntress إنها تراقب ما يقرب من 4,500 خادم Exchange وتقوم حاليًا بالتحقيق في هذه الخوادم بحثًا عن علامات محتملة على الاستغلال في هذه الخوادم. كتب هاموند: "في الوقت الحالي ، لم ير Huntress أي علامات على الاستغلال أو مؤشرات التسوية على أجهزة شركائنا".

خطوات التخفيف الواجب اتخاذها

لقد وعدت شركة Microsoft بأنها تسرع الإصلاح. حتى ذلك الحين ، يجب على المؤسسات تطبيق عوامل التخفيف التالية على Exchange Server لحماية شبكاتهم.

وفقًا لـ Microsoft ، يجب على عملاء Microsoft Exchange الداخليين تطبيق قواعد جديدة من خلال وحدة URL Rewrite Rule على خادم IIS.

  • في IIS Manager -> موقع الويب الافتراضي -> الاكتشاف التلقائي -> إعادة كتابة عنوان URL -> الإجراءات ، حدد طلب حظر وأضف السلسلة التالية إلى مسار URL:
. * autodiscover.json. * @. * Powershell. *

يجب تعيين إدخال الشرط على {REQUEST_URI}

  • قم بحظر المنفذين 5985 (HTTP) و 5986 (HTTPS) حيث يتم استخدامهما لـ PowerShell البعيد.

إذا كنت تستخدم Exchange عبر الإنترنت:

قالت Microsoft إن عملاء Exchange Online لا يتأثرون ولا يحتاجون إلى اتخاذ أي إجراء. ومع ذلك ، من المحتمل أن يكون لدى المؤسسات التي تستخدم Exchange Online بيئات Exchange مختلطة ، مع مزيج من الأنظمة المحلية والسحابة. يجب أن يتبعوا الإرشادات المذكورة أعلاه لحماية الخوادم المحلية.

الطابع الزمني:

اكثر من قراءة مظلمة