Microsoft har bekræftet to nye nul-dages sårbarheder i Microsoft Exchange Server (CVE-2022-41040 og CVE-2022-41082) bliver udnyttet i "begrænsede, målrettede angreb." Hvis der ikke findes en officiel patch, bør organisationer kontrollere deres omgivelser for tegn på udnyttelse og derefter anvende trinene til afbødning af nødstilfælde.
- CVE-2022-41040 — Forfalskning af anmodninger på serversiden, der giver godkendte angribere mulighed for at fremsætte anmodninger, der udgiver sig for at være den berørte maskine
- CVE-2022-41082 — Fjernudførelse af kode, der tillader godkendte angribere at udføre vilkårlig PowerShell.
"I øjeblikket er der ingen kendte proof-of-concept-scripts eller udnyttelsesværktøjer tilgængelige i naturen," skrev John Hammond, en trusseljæger med Huntress. Det betyder dog bare, at uret tikker. Med fornyet fokus på sårbarheden er det blot et spørgsmål om tid, før nye udnyttelser eller proof-of-concept-scripts bliver tilgængelige.
Trin til at opdage udnyttelse
Den første sårbarhed - fejlen ved forfalskning af anmodninger på serversiden - kan bruges til at opnå den anden - sårbarheden ved fjernudførelse af kode - men angrebsvektoren kræver, at modstanderen allerede er autentificeret på serveren.
I henhold til GTSC kan organisationer kontrollere, om deres Exchange-servere allerede er blevet udnyttet ved at køre følgende PowerShell-kommando:
Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200
GTSC har også udviklet et værktøj til at søge efter tegn på udnyttelse og udgav den på GitHub. Denne liste vil blive opdateret, efterhånden som andre virksomheder frigiver deres værktøjer.
Microsoft-specifikke værktøjer
- Ifølge Microsoft, er der forespørgsler i Microsoft Sentinel, der kunne bruges til at jage efter denne specifikke trussel. En sådan forespørgsel er Exchange SSRF Autodiscover ProxyShell detektion, som blev oprettet som svar på ProxyShell. Den nye Exchange Server mistænkelige fildownloads forespørgsel søger specifikt efter mistænkelige downloads i IIS-logfiler.
- Advarsler fra Microsoft Defender for Endpoint vedrørende mulig web-shell-installation, mulig IIS-web-shell, mistænkelig udførelse af Exchange-processer, mulig udnyttelse af Exchange Server-sårbarheder, mistænkelige processer, der indikerer en web-shell, og mulig IIS-kompromittering kan også være tegn på, at Exchange Server har været kompromitteret via de to sårbarheder.
- Microsoft Defender vil opdage forsøgene efter udnyttelse som Bagdør: ASP/Webshell.Y , Bagdør:Win32/RewriteHttp.A.
Adskillige sikkerhedsleverandører har annonceret opdateringer til deres produkter for også at opdage udnyttelse.
Huntress sagde, at det overvåger cirka 4,500 Exchange-servere og er i øjeblikket ved at undersøge disse servere for potentielle tegn på udnyttelse i disse servere. "I øjeblikket har Huntress ikke set nogen tegn på udnyttelse eller indikatorer på kompromis på vores partneres enheder," skrev Hammond.
Afhjælpende skridt at tage
Microsoft lovede, at det hurtigt sporer en rettelse. Indtil da bør organisationer anvende følgende begrænsninger på Exchange Server for at beskytte deres netværk.
Ifølge Microsoft bør Microsoft Exchange-kunder på stedet anvende nye regler gennem modulet URL Rewrite Rule på IIS-serveren.
- I IIS Manager -> Standardwebsted -> Autodiscover -> URL-omskrivning -> Handlinger skal du vælge Anmod om blokering og tilføje følgende streng til URL-stien:
.*autodiscover.json.*@.*Powershell.*
Betingelsesinputtet skal indstilles til {REQUEST_URI}
- Bloker porte 5985 (HTTP) og 5986 (HTTPS), da de bruges til Remote PowerShell.
Hvis du bruger Exchange Online:
Microsoft sagde, at Exchange Online-kunder ikke er berørt og ikke behøver at foretage sig noget. Organisationer, der bruger Exchange Online, vil dog sandsynligvis have hybride Exchange-miljøer med en blanding af on-prem og cloud-systemer. De bør følge ovenstående vejledning for at beskytte de lokale servere.
