نگران روز مبادله صفر هستید؟ در اینجا اطلاعاتی در مورد هوش داده PlatoBlockchain چیست؟ جستجوی عمودی Ai.

نگران روز مبادله صفر هستید؟ در اینجا چه باید کرد

تمبر زمان: 30 سپتامبر 2022، 6:14 بعد از ظهر

مایکروسافت تایید کرده است دو آسیب‌پذیری روز صفر جدید در Microsoft Exchange Server (CVE-2022-41040 و CVE-2022-41082) در "حملات محدود و هدفمند" مورد سوء استفاده قرار می گیرند. در غیاب وصله رسمی، سازمان ها باید محیط خود را برای نشانه های بهره برداری بررسی کنند و سپس مراحل کاهش اضطراری را اعمال کنند.

  • CVE-2022-41040 - جعل درخواست سمت سرور، به مهاجمان احراز هویت شده اجازه می دهد تا درخواست هایی را به عنوان ماشین آسیب دیده ارسال کنند.
  • CVE-2022-41082 - اجرای کد از راه دور، به مهاجمان تأیید شده اجازه می دهد تا PowerShell دلخواه را اجرا کنند.

"در حال حاضر، هیچ اسکریپت اثبات مفهوم یا ابزار بهره برداری شناخته شده ای در طبیعت وجود ندارد." جان هاموند نوشت، شکارچی تهدید با هانترس. با این حال، این فقط به این معنی است که ساعت در حال حرکت است. با تمرکز مجدد روی آسیب‌پذیری، دسترسی به اکسپلویت‌های جدید یا اسکریپت‌های اثبات مفهوم فقط مسئله زمان است.

مراحل تشخیص بهره برداری

اولین آسیب‌پذیری – نقص جعل درخواست سمت سرور – می‌تواند برای دستیابی به دومین آسیب‌پذیری – آسیب‌پذیری اجرای کد از راه دور – استفاده شود، اما بردار حمله از دشمن می‌خواهد که قبلاً روی سرور احراز هویت شده باشد.

طبق GTSC، سازمان ها می توانند با اجرای دستور PowerShell زیر بررسی کنند که آیا سرورهای Exchange آنها قبلاً مورد سوء استفاده قرار گرفته است یا خیر:

Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200

GTSC همچنین ابزاری را برای جستجوی نشانه های بهره برداری و آن را در GitHub منتشر کرد. این لیست با انتشار ابزارهای دیگر شرکت ها به روز می شود.

ابزارهای ویژه مایکروسافت

  • به گفته مایکروسافتپرس‌وجوهایی در مایکروسافت سنتینل وجود دارد که می‌توان از آنها برای جستجوی این تهدید خاص استفاده کرد. یکی از این پرس و جوها است تبادل SSRF Autodiscover ProxyShell تشخیص، که در پاسخ به ProxyShell ایجاد شد. جدید دانلود فایل های مشکوک اکسچنج سرور query به طور خاص به دنبال دانلودهای مشکوک در گزارش های IIS است.
  • هشدارهای Microsoft Defender برای Endpoint در مورد نصب پوسته وب احتمالی، پوسته وب احتمالی IIS، اجرای مشکوک فرآیند Exchange، سوء استفاده احتمالی از آسیب‌پذیری‌های Exchange Server، فرآیندهای مشکوک نشان‌دهنده پوسته وب، و احتمال به خطر افتادن IIS نیز می‌توانند نشانه‌هایی باشند که Exchange Server وجود دارد. از طریق این دو آسیب پذیری به خطر افتاده است.
  • مایکروسافت دیفندر تلاش های پس از بهره برداری را به عنوان شناسایی خواهد کرد درب پشتی:ASP/Webshell.Y و در پشتی: Win32/RewriteHttp.A.

چندین فروشنده امنیتی نیز به‌روزرسانی‌هایی را برای محصولات خود برای شناسایی بهره‌برداری اعلام کرده‌اند.

Huntress گفت که تقریباً 4,500 سرور Exchange را زیر نظر دارد و در حال حاضر در حال بررسی این سرورها برای نشانه‌های احتمالی سوءاستفاده در این سرورها است. هاموند نوشت: «در حال حاضر، هانترس هیچ نشانه‌ای از بهره‌برداری یا نشان‌دهنده سازش در دستگاه‌های شرکای ما ندیده است.

اقدامات کاهشی که باید انجام شود

مایکروسافت قول داده است که در حال پیگیری سریع است. تا آن زمان، سازمان ها باید اقدامات کاهشی زیر را برای محافظت از شبکه های خود برای Exchange Server اعمال کنند.

به گفته مایکروسافت، مشتریان داخلی Microsoft Exchange باید قوانین جدیدی را از طریق ماژول URL Rewrite Rule در سرور IIS اعمال کنند.

  • در IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions، گزینه Request Blocking را انتخاب کنید و رشته زیر را به مسیر URL اضافه کنید:
.*autodiscover.json.*@.*Powershell.*

ورودی شرط باید روی {REQUEST_URI} تنظیم شود

  • پورت های 5985 (HTTP) و 5986 (HTTPS) را همانطور که برای Remote PowerShell استفاده می شود مسدود کنید.

اگر از Exchange Online استفاده می کنید:

مایکروسافت گفت که مشتریان Exchange Online تحت تأثیر قرار نگرفته اند و نیازی به انجام هیچ اقدامی ندارند. با این حال، سازمان‌هایی که از Exchange Online استفاده می‌کنند احتمالاً دارای محیط‌های تبادل ترکیبی با ترکیبی از سیستم‌های on-prem و cloud هستند. آنها باید دستورالعمل فوق را برای محافظت از سرورهای on-prem دنبال کنند.

تمبر زمان:

بیشتر از تاریک خواندن