Ανησυχείτε για την Exchange Zero-Day; Δείτε τι πρέπει να κάνετε

Η Microsoft επιβεβαίωσε δύο νέα τρωτά σημεία zero-day στον Microsoft Exchange Server (CVE-2022-41040 και CVE-2022-41082) αποτελούν αντικείμενο εκμετάλλευσης σε «περιορισμένες, στοχευμένες επιθέσεις». Ελλείψει επίσημης ενημέρωσης κώδικα, οι οργανισμοί θα πρέπει να ελέγχουν το περιβάλλον τους για σημάδια εκμετάλλευσης και στη συνέχεια να εφαρμόζουν τα βήματα μετριασμού έκτακτης ανάγκης.

• CVE-2022-41040 — Παραχάραξη αιτημάτων από την πλευρά του διακομιστή, που επιτρέπει στους επιβεβαιωμένους εισβολείς να υποβάλλουν αιτήματα που παρουσιάζονται ως το επηρεαζόμενο μηχάνημα
• CVE-2022-41082 — Απομακρυσμένη εκτέλεση κώδικα, που επιτρέπει στους επιτιθέμενους να εκτελούν αυθαίρετο PowerShell.

"Προς το παρόν, δεν υπάρχουν γνωστά σενάρια απόδειξης ιδέας ή εργαλεία εκμετάλλευσης διαθέσιμα στη φύση." έγραψε ο Τζον Χάμοντ, ένας κυνηγός απειλών με την Huntress. Ωστόσο, αυτό σημαίνει απλώς ότι το ρολόι χτυπά. Με ανανεωμένη εστίαση στην ευπάθεια, είναι απλώς θέμα χρόνου να γίνουν διαθέσιμα νέα exploit ή σενάρια proof-of-concept.

Βήματα για τον εντοπισμό της εκμετάλλευσης

Η πρώτη ευπάθεια — το ελάττωμα πλαστογραφίας αιτήματος από την πλευρά του διακομιστή — μπορεί να χρησιμοποιηθεί για την επίτευξη του δεύτερου — την ευπάθεια απομακρυσμένης εκτέλεσης κώδικα — αλλά το διάνυσμα επίθεσης απαιτεί από τον αντίπαλο να έχει ήδη έλεγχο ταυτότητας στον διακομιστή.

Σύμφωνα με το GTSC, οι οργανισμοί μπορούν να ελέγξουν εάν οι Exchange Servers τους έχουν ήδη γίνει αντικείμενο εκμετάλλευσης εκτελώντας την ακόλουθη εντολή PowerShell:

Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200

Η GTSC έχει επίσης αναπτύξει ένα εργαλείο για την αναζήτηση ενδείξεων εκμετάλλευσης και το κυκλοφόρησε στο GitHub. Αυτή η λίστα θα ενημερωθεί καθώς άλλες εταιρείες κυκλοφορούν τα εργαλεία τους.

Εργαλεία ειδικά για τη Microsoft

• Σύμφωνα με τη Microsoft, υπάρχουν ερωτήματα στο Microsoft Sentinel που θα μπορούσαν να χρησιμοποιηθούν για την αναζήτηση αυτής της συγκεκριμένης απειλής. Ένα τέτοιο ερώτημα είναι το Exchange SSRF Autodiscover ProxyShell εντοπισμού, που δημιουργήθηκε ως απόκριση στο ProxyShell. Το νέο Λήψεις ύποπτων αρχείων διακομιστή Exchange Το ερώτημα αναζητά συγκεκριμένα ύποπτες λήψεις στα αρχεία καταγραφής των υπηρεσιών IIS.
• Ειδοποιήσεις από το Microsoft Defender για το Endpoint σχετικά με πιθανή εγκατάσταση κελύφους ιστού, πιθανό κέλυφος ιστού IIS, ύποπτη εκτέλεση διαδικασίας Exchange, πιθανή εκμετάλλευση τρωτών σημείων του Exchange Server, ύποπτες διεργασίες ενδεικτικές ενός κελύφους ιστού και πιθανή παραβίαση των υπηρεσιών IIS μπορεί επίσης να είναι ενδείξεις ότι ο Exchange Server διακυβεύεται μέσω των δύο τρωτών σημείων.
• Το Microsoft Defender θα εντοπίσει τις προσπάθειες μετά την εκμετάλλευση ως Backdoor:ASP/Webshell.Y και Backdoor:Win32/RewriteHttp.A.

Αρκετοί προμηθευτές ασφάλειας έχουν ανακοινώσει ενημερώσεις στα προϊόντα τους για τον εντοπισμό της εκμετάλλευσης.

Η Huntress είπε ότι παρακολουθεί περίπου 4,500 διακομιστές Exchange και επί του παρόντος ερευνά αυτούς τους διακομιστές για πιθανά σημάδια εκμετάλλευσης σε αυτούς τους διακομιστές. «Προς το παρόν, η Huntress δεν έχει δει κανένα σημάδι εκμετάλλευσης ή ένδειξη συμβιβασμού στις συσκευές των συνεργατών μας», έγραψε ο Hammond.

Βήματα μετριασμού που πρέπει να ληφθούν

Η Microsoft υποσχέθηκε ότι παρακολουθεί γρήγορα μια επιδιόρθωση. Μέχρι τότε, οι οργανισμοί θα πρέπει να εφαρμόζουν τους ακόλουθους μετριασμούς στον Exchange Server για την προστασία των δικτύων τους.

Σύμφωνα με τη Microsoft, οι πελάτες του Microsoft Exchange εσωτερικής εγκατάστασης θα πρέπει να εφαρμόζουν νέους κανόνες μέσω της ενότητας URL Rewrite Rule στον διακομιστή IIS.

• Στη Διαχείριση IIS -> Προεπιλεγμένη τοποθεσία Web -> Αυτόματος εντοπισμός -> Επανεγγραφή URL -> Ενέργειες, επιλέξτε Αίτημα αποκλεισμού και προσθέστε την ακόλουθη συμβολοσειρά στη διαδρομή διεύθυνσης URL:

.*autodiscover.json.*@.*Powershell.*

Η εισαγωγή συνθήκης θα πρέπει να οριστεί σε {REQUEST_URI}

• Αποκλείστε τις θύρες 5985 (HTTP) και 5986 (HTTPS) όπως χρησιμοποιούνται για το Remote PowerShell.

Εάν χρησιμοποιείτε το Exchange Online:

Η Microsoft είπε ότι οι πελάτες του Exchange Online δεν επηρεάζονται και δεν χρειάζεται να προβούν σε καμία ενέργεια. Ωστόσο, οι οργανισμοί που χρησιμοποιούν το Exchange Online είναι πιθανό να διαθέτουν υβριδικά περιβάλλοντα Exchange, με συνδυασμό συστημάτων on-prem και cloud. Θα πρέπει να ακολουθούν τις παραπάνω οδηγίες για την προστασία των διακομιστών on-prem.