মাইক্রোসফট নিশ্চিত করেছে মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারে দুটি নতুন শূন্য-দিনের দুর্বলতা (CVE-2022-41040 এবং CVE-2022-41082) "সীমিত, লক্ষ্যবস্তু আক্রমণে" শোষণ করা হচ্ছে৷ একটি অফিসিয়াল প্যাচের অনুপস্থিতিতে, সংস্থাগুলির শোষণের লক্ষণগুলির জন্য তাদের পরিবেশ পরীক্ষা করা উচিত এবং তারপরে জরুরি প্রশমনের পদক্ষেপগুলি প্রয়োগ করা উচিত।
- CVE-2022-41040 — সার্ভার-সাইড অনুরোধ জালিয়াতি, প্রমাণীকৃত আক্রমণকারীদের প্রভাবিত মেশিন হিসাবে অনুরোধ করতে অনুমতি দেয়
- CVE-2022-41082 — রিমোট কোড এক্সিকিউশন, প্রমাণীকৃত আক্রমণকারীদের নির্বিচারে PowerShell চালানোর অনুমতি দেয়।
"বর্তমানে, কোন পরিচিত প্রমাণ-অফ-ধারণা স্ক্রিপ্ট বা শোষণ টুলিং বন্যের মধ্যে উপলব্ধ নেই," লিখেছেন জন হ্যামন্ড, Huntress সঙ্গে একটি হুমকি শিকারী. যাইহোক, তার মানে ঘড়ির কাঁটা টিক টিক করছে। দুর্বলতার উপর নতুন করে ফোকাস করার সাথে নতুন শোষণ বা ধারণার প্রমাণ স্ক্রিপ্ট উপলব্ধ হওয়ার আগে এটি সময়ের ব্যাপার।
শোষণ সনাক্ত করার পদক্ষেপ
প্রথম দুর্বলতা — সার্ভার-সাইড অনুরোধ জালিয়াতি ত্রুটি — দ্বিতীয়টি অর্জনের জন্য ব্যবহার করা যেতে পারে — দূরবর্তী কোড কার্যকর করার দুর্বলতা — কিন্তু আক্রমণ ভেক্টরের জন্য প্রতিপক্ষকে ইতিমধ্যেই সার্ভারে প্রমাণীকরণ করতে হবে।
GTSC-এর প্রতি, সংস্থাগুলি তাদের এক্সচেঞ্জ সার্ভারগুলি ইতিমধ্যেই নিম্নলিখিত PowerShell কমান্ড চালিয়ে শোষিত হয়েছে কিনা তা পরীক্ষা করতে পারে:
Get-ChildItem -Recurse -Path -Filter "*.log" | সিলেক্ট-স্ট্রিং -প্যাটার্ন 'পাওয়ারশেল।*Autodiscover.json।*@.*200
GTSC শোষণের লক্ষণগুলি অনুসন্ধান করার জন্য একটি সরঞ্জামও তৈরি করেছে এবং এটি GitHub এ প্রকাশ করেছে. অন্যান্য কোম্পানি তাদের টুল প্রকাশ করার সাথে সাথে এই তালিকাটি আপডেট করা হবে।
মাইক্রোসফ্ট-নির্দিষ্ট সরঞ্জাম
- মাইক্রোসফ্ট মতে, মাইক্রোসফ্ট সেন্টিনেলে এমন প্রশ্ন রয়েছে যা এই নির্দিষ্ট হুমকির জন্য ব্যবহার করা যেতে পারে। যেমন একটি প্রশ্ন হল এক্সচেঞ্জ SSRF Autodiscover ProxyShell সনাক্তকরণ, যা প্রক্সিশেলের প্রতিক্রিয়া হিসাবে তৈরি করা হয়েছিল। নতুন এক্সচেঞ্জ সার্ভার সন্দেহজনক ফাইল ডাউনলোড ক্যোয়ারী বিশেষভাবে IIS লগে সন্দেহজনক ডাউনলোডের সন্ধান করে।
- সম্ভাব্য ওয়েব শেল ইনস্টলেশন, সম্ভাব্য IIS ওয়েব শেল, সন্দেহজনক এক্সচেঞ্জ প্রসেস এক্সিকিউশন, এক্সচেঞ্জ সার্ভারের দুর্বলতার সম্ভাব্য শোষণ, একটি ওয়েব শেল নির্দেশকারী সন্দেহজনক প্রক্রিয়া, এবং সম্ভাব্য IIS সমঝোতার বিষয়ে মাইক্রোসফ্ট ডিফেন্ডারের কাছ থেকে সতর্কতাগুলিও এক্সচেঞ্জ সার্ভারের সংকেত হতে পারে দুটি দুর্বলতার মাধ্যমে আপস করা হয়েছে।
- মাইক্রোসফ্ট ডিফেন্ডার পোস্ট-শোষণ প্রচেষ্টা সনাক্ত করবে ব্যাকডোর:ASP/Webshell.Y এবং ব্যাকডোর:Win32/RewriteHttp.A.
বেশ কিছু নিরাপত্তা বিক্রেতা শোষণ শনাক্ত করতে তাদের পণ্যের আপডেট ঘোষণা করেছে।
হান্ট্রেস বলেছেন যে এটি প্রায় 4,500টি এক্সচেঞ্জ সার্ভার নিরীক্ষণ করে এবং বর্তমানে এই সার্ভারগুলিতে শোষণের সম্ভাব্য লক্ষণগুলির জন্য সেই সার্ভারগুলি তদন্ত করছে৷ "এই মুহুর্তে, হান্ট্রেস আমাদের অংশীদারদের ডিভাইসে শোষণের কোনো লক্ষণ বা আপোষের সূচক দেখেনি," হ্যামন্ড লিখেছেন।
প্রশমনের পদক্ষেপ নিতে হবে
মাইক্রোসফ্ট প্রতিশ্রুতি দিয়েছে যে এটি একটি সমাধান দ্রুত-ট্র্যাক করছে। ততক্ষণ পর্যন্ত, সংস্থাগুলিকে তাদের নেটওয়ার্কগুলি সুরক্ষিত করার জন্য এক্সচেঞ্জ সার্ভারে নিম্নলিখিত প্রশমনগুলি প্রয়োগ করা উচিত৷
মাইক্রোসফ্টের প্রতি, অন-প্রিমিসেস মাইক্রোসফ্ট এক্সচেঞ্জ গ্রাহকদের আইআইএস সার্ভারে URL পুনর্লিখন নিয়ম মডিউলের মাধ্যমে নতুন নিয়ম প্রয়োগ করা উচিত।
- আইআইএস ম্যানেজার -> ডিফল্ট ওয়েব সাইট -> অটোডিসকভার -> ইউআরএল পুনর্লিখন -> অ্যাকশনগুলিতে, ব্লক করার অনুরোধ নির্বাচন করুন এবং URL পাথে নিম্নলিখিত স্ট্রিংটি যুক্ত করুন:
.*autodiscover.json.*@.*পাওয়ারশেল।*
শর্ত ইনপুট সেট করা উচিত {REQUEST_URI}
- পোর্ট 5985 (HTTP) এবং 5986 (HTTPS) ব্লক করুন কারণ তারা রিমোট পাওয়ারশেলের জন্য ব্যবহৃত হয়।
আপনি যদি এক্সচেঞ্জ অনলাইন ব্যবহার করেন:
মাইক্রোসফ্ট জানিয়েছে যে এক্সচেঞ্জ অনলাইন গ্রাহকরা প্রভাবিত হয় না এবং তাদের কোনও পদক্ষেপ নেওয়ার দরকার নেই। যাইহোক, এক্সচেঞ্জ অনলাইন ব্যবহারকারী সংস্থাগুলির হাইব্রিড এক্সচেঞ্জ পরিবেশ থাকতে পারে, যেখানে অন-প্রিম এবং ক্লাউড সিস্টেমের মিশ্রণ রয়েছে। অন-প্রিম সার্ভারগুলিকে রক্ষা করার জন্য তাদের উপরের নির্দেশিকা অনুসরণ করা উচিত।
