Microsoft kinnitas kaks uut nullpäeva turvaauku Microsoft Exchange Serveris (CVE-2022-41040 ja CVE-2022-41082) kasutatakse "piiratud, sihitud rünnakutes". Ametliku plaastri puudumisel peaksid organisatsioonid kontrollima oma keskkonda ärakasutamise tunnuste suhtes ja seejärel rakendama hädaolukorra leevendamise meetmeid.
- CVE-2022-41040 – serveripoolne päringu võltsimine, mis võimaldab autentitud ründajatel teha taotlusi, mis esinevad mõjutatud masinana
- CVE-2022-41082 – koodi kaugkäivitamine, mis võimaldab autentitud ründajatel käivitada suvalise PowerShelli.
"Praegu pole teadaolevaid kontseptsiooni tõendavaid skripte ega looduses kasutatavaid tööriistu," kirjutas John Hammond, Huntressiga ohukütt. See aga tähendab lihtsalt, et kell tiksub. Uuesti keskendudes haavatavusele on vaid aja küsimus, millal uued ärakasutamise või kontseptsiooni tõestamise skriptid kättesaadavaks muutuvad.
Toimingud ekspluateerimise tuvastamiseks
Esimest haavatavust – serveripoolset päringu võltsimise viga – saab kasutada teise – koodi kaugkäitamise haavatavuse – saavutamiseks, kuid ründevektor nõuab, et vastane oleks juba serveris autentinud.
GTSC alusel saavad organisatsioonid kontrollida, kas nende Exchange'i servereid on juba ära kasutatud, käivitades järgmise PowerShelli käsu:
Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String - Pattern 'powershell.*Autodiscover.json.*@.*200
GTSC on välja töötanud ka tööriista ekspluateerimise märkide otsimiseks ja avaldas selle GitHubis. Seda loendit värskendatakse, kui teised ettevõtted oma tööriistu välja annavad.
Microsofti spetsiifilised tööriistad
- Microsofti sõnul, on Microsoft Sentinelis päringuid, mida saaks kasutada selle konkreetse ohu otsimiseks. Üks selline päring on Vahetage SSRF Autodiscover ProxyShell tuvastamine, mis loodi vastuseks ProxyShellile. Uus Exchange Serveri kahtlaste failide allalaadimine päring otsib konkreetselt kahtlasi allalaadimisi IIS-i logidest.
- Microsoft Defender for Endpointi hoiatused seoses võimaliku veebikesta installimise, võimaliku IIS-i veebikesta, kahtlase Exchange'i protsessi käivitamise, Exchange Serveri haavatavuste võimaliku ärakasutamise, veebishellile viitavate kahtlaste protsesside ja võimaliku IIS-i ohuga võivad samuti olla märgid Exchange'i serveri kasutamisest. ohustatud kahe haavatavuse kaudu.
- Microsoft Defender tuvastab kasutusjärgsed katsed kui Tagauks: ASP/Webshell.Y ja Tagauks: Win32/RewriteHttp.A.
Mitmed turbemüüjad on teatanud ka oma toodete värskendustest, et tuvastada ärakasutamist.
Huntress ütles, et jälgib ligikaudu 4,500 Exchange'i serverit ja uurib praegu nende serverite võimalikke ekspluateerimise märke. "Hetkel ei ole Huntress meie partnerite seadmetes näinud ärakasutamise märke ega kompromisse," kirjutas Hammond.
Leevendusmeetmed, mida võtta
Microsoft lubas, et see parandab kiiresti. Kuni selle ajani peaksid organisatsioonid oma võrkude kaitsmiseks rakendama Exchange Serveri puhul järgmisi leevendusi.
Microsofti sõnul peaksid kohapealsed Microsoft Exchange'i kliendid rakendama uusi reegleid IIS-i serveri URL-i ümberkirjutamise reegli mooduli kaudu.
- Valige jaotises IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions Request Blocking ja lisage URL-i teele järgmine string:
.*autodiscover.json.*@.*Powershell.*
Tingimuse sisendiks tuleks määrata {REQUEST_URI}
- Blokeerige pordid 5985 (HTTP) ja 5986 (HTTPS), kuna neid kasutatakse kaug-PowerShelli jaoks.
Kui kasutate Exchange Online'i:
Microsoft ütles, et Exchange Online'i kliente see ei mõjuta ja nad ei pea midagi ette võtma. Exchange Online'i kasutavatel organisatsioonidel on aga tõenäoliselt hübriidsed Exchange'i keskkonnad, mis sisaldavad nii kohapealseid kui ka pilvesüsteeme. Kohapealsete serverite kaitsmiseks peaksid nad järgima ülaltoodud juhiseid.
