Microsoft hat bestätigt zwei neue Zero-Day-Schwachstellen in Microsoft Exchange Server (CVE-2022-41040 und CVE-2022-41082) werden in „begrenzten, gezielten Angriffen“ ausgenutzt. In Ermangelung eines offiziellen Patches sollten Organisationen ihre Umgebungen auf Anzeichen von Ausbeutung überprüfen und dann die Maßnahmen zur Notfallminderung ergreifen.
- CVE-2022-41040 – Serverseitige Anforderungsfälschung, die es authentifizierten Angreifern ermöglicht, Anforderungen zu stellen, die sich als der betroffene Computer ausgeben
- CVE-2022-41082 – Remote Code Execution, die es authentifizierten Angreifern ermöglicht, beliebige PowerShell auszuführen.
"Derzeit gibt es keine bekannten Proof-of-Concept-Skripte oder Exploit-Tools, die in freier Wildbahn verfügbar sind", schrieb John Hammond, ein Bedrohungsjäger mit Huntress. Das bedeutet jedoch nur, dass die Uhr tickt. Mit einem erneuten Fokus auf die Schwachstelle ist es nur eine Frage der Zeit, bis neue Exploits oder Proof-of-Concept-Skripte verfügbar werden.
Schritte zur Erkennung von Ausbeutung
Die erste Schwachstelle – die serverseitige Anforderungsfälschung – kann verwendet werden, um die zweite – die Schwachstelle bei der Ausführung von Remotecode – zu erreichen, aber der Angriffsvektor erfordert, dass sich der Angreifer bereits auf dem Server authentifiziert.
Laut AGBC können Organisationen überprüfen, ob ihre Exchange-Server bereits missbraucht wurden, indem sie den folgenden PowerShell-Befehl ausführen:
Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200
GTSC hat auch ein Tool entwickelt, um nach Anzeichen von Ausbeutung zu suchen und veröffentlichte es auf GitHub. Diese Liste wird aktualisiert, wenn andere Unternehmen ihre Tools veröffentlichen.
Microsoft-spezifische Tools
- Laut Microsoft, gibt es Abfragen in Microsoft Sentinel, die verwendet werden könnten, um nach dieser spezifischen Bedrohung zu suchen. Eine solche Abfrage ist die Exchange-SSRF-AutoErmittlungs-ProxyShell Erkennung, die als Reaktion auf ProxyShell erstellt wurde. Das neue Verdächtige Dateidownloads von Exchange Server Die Abfrage sucht speziell nach verdächtigen Downloads in IIS-Protokollen.
- Warnungen von Microsoft Defender for Endpoint in Bezug auf eine mögliche Webshell-Installation, eine mögliche IIS-Webshell, eine verdächtige Ausführung von Exchange-Prozessen, eine mögliche Ausnutzung von Exchange Server-Schwachstellen, verdächtige Prozesse, die auf eine Webshell hinweisen, und eine mögliche IIS-Kompromittierung können ebenfalls Anzeichen dafür sein, dass der Exchange-Server aufgetreten ist über die beiden Schwachstellen kompromittiert.
- Microsoft Defender erkennt die Post-Exploitation-Versuche als Hintertür:ASP/Webshell.Y und Hintertür:Win32/RewriteHttp.A.
Mehrere Sicherheitsanbieter haben ebenfalls Updates für ihre Produkte angekündigt, um Exploits zu erkennen.
Huntress sagte, es überwache ungefähr 4,500 Exchange-Server und untersuche diese Server derzeit auf mögliche Anzeichen einer Ausbeutung dieser Server. „Im Moment hat Huntress keine Anzeichen von Ausbeutung oder Anzeichen von Kompromittierung auf den Geräten unserer Partner gesehen“, schrieb Hammond.
Maßnahmen zur Schadensbegrenzung
Microsoft hat versprochen, eine Lösung schnell zu finden. Bis dahin sollten Organisationen die folgenden Gegenmaßnahmen auf Exchange Server anwenden, um ihre Netzwerke zu schützen.
Laut Microsoft sollten lokale Microsoft Exchange-Kunden neue Regeln über das URL-Umschreibungsregelmodul auf dem IIS-Server anwenden.
- Wählen Sie im IIS-Manager -> Standardwebsite -> AutoErmittlung -> URL-Umschreibung -> Aktionen Blockierung anfordern und fügen Sie die folgende Zeichenfolge zum URL-Pfad hinzu:
.*autodiscover.json.*@.*Powershell.*
Die Bedingungseingabe sollte auf {REQUEST_URI} gesetzt werden
- Blockieren Sie die Ports 5985 (HTTP) und 5986 (HTTPS), da sie für Remote PowerShell verwendet werden.
Wenn Sie Exchange Online verwenden:
Laut Microsoft sind Exchange Online-Kunden nicht betroffen und müssen keine Maßnahmen ergreifen. Organisationen, die Exchange Online verwenden, verfügen jedoch wahrscheinlich über hybride Exchange-Umgebungen mit einer Mischung aus lokalen und Cloud-Systemen. Sie sollten die obigen Richtlinien befolgen, um die lokalen Server zu schützen.
