Oletko huolissasi pörssin nollapäivästä? Tässä on mitä tehdä

Microsoft on vahvistanut kaksi uutta nollapäivän haavoittuvuutta Microsoft Exchange Serverissä (CVE-2022-41040 ja CVE-2022-41082) käytetään "rajoitetuissa, kohdistetuissa hyökkäyksissä". Virallisen korjaustiedoston puuttuessa organisaatioiden tulee tarkistaa ympäristönsä hyväksikäytön merkkien varalta ja sitten ryhtyä hätätilanteen lieventämistoimenpiteisiin.

• CVE-2022-41040 — Palvelinpuolen pyyntöväärennös, jonka avulla todennetut hyökkääjät voivat tehdä pyyntöjä, jotka esiintyvät asianomaisena koneena
• CVE-2022-41082 — Koodin etäsuoritus, jonka avulla todennetut hyökkääjät voivat suorittaa mielivaltaisen PowerShellin.

"Tällä hetkellä luonnossa ei ole saatavilla tunnettuja todisteita käsitteistä käsikirjoituksia tai hyväksikäyttötyökaluja." kirjoitti John Hammond, uhkien metsästäjä Huntressin kanssa. Se kuitenkin vain tarkoittaa, että kello tikittää. Kun haavoittuvuuteen keskittyy uudelleen, on vain ajan kysymys, ennen kuin uusia hyödykkeitä tai proof-of-concept-skriptejä tulee saataville.

Toimenpiteet hyväksikäytön havaitsemiseksi

Ensimmäistä haavoittuvuutta – palvelinpuolen pyyntöväärennösvirhettä – voidaan käyttää toisen – koodin etäsuorittamisen haavoittuvuuden saavuttamiseen, mutta hyökkäysvektori edellyttää, että vastustaja on jo todennettu palvelimella.

GTSC:n mukaan organisaatiot voivat tarkistaa, onko niiden Exchange-palvelimia jo hyödynnetty suorittamalla seuraava PowerShell-komento:

Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String - Pattern 'powershell.*Autodiscover.json.*@.*200

GTSC on myös kehittänyt työkalun, jolla voidaan etsiä merkkejä hyväksikäytöstä ja julkaisi sen GitHubissa. Tämä luettelo päivitetään, kun muut yritykset julkaisevat työkalunsa.

Microsoft-kohtaiset työkalut

• Microsoftin mukaan, Microsoft Sentinelissä on kyselyitä, joita voidaan käyttää tämän uhan etsimiseen. Yksi tällainen kysely on Exchange SSRF Autodiscover ProxyShell tunnistus, joka luotiin vastauksena ProxyShellille. Uusi Exchange-palvelimen epäilyttävät tiedostolataukset kysely etsii erityisesti epäilyttäviä latauksia IIS-lokeista.
• Microsoft Defender for Endpointin varoitukset koskien mahdollista web shellin asennusta, mahdollista IIS web shelliä, epäilyttävää Exchange Process Execution, Exchange Serverin haavoittuvuuksien mahdollista hyödyntämistä, web shelliin viittaavia epäilyttäviä prosesseja ja mahdollista IIS:n vaarantumista voivat myös olla merkkejä Exchange Serverin käytöstä. vaarantunut kahden haavoittuvuuden kautta.
• Microsoft Defender havaitsee jälkeiset hyväksikäyttöyritykset Takaovi: ASP/Webshell.Y ja Takaovi: Win32/RewriteHttp.A.

Useat tietoturvatoimittajat ovat ilmoittaneet päivityksistä tuotteisiinsa myös hyväksikäytön havaitsemiseksi.

Huntress sanoi, että se valvoo noin 4,500 XNUMX Exchange-palvelinta ja tutkii parhaillaan näitä palvelimia mahdollisten hyväksikäytön merkkien varalta. "Tällä hetkellä Huntress ei ole nähnyt merkkejä hyväksikäytöstä tai merkkejä kompromisseista kumppaneidemme laitteissa", Hammond kirjoitti.

Toteutettavat lieventävät toimenpiteet

Microsoft lupasi, että se korjaa nopeasti. Siihen asti organisaatioiden tulee suojata verkkojaan Exchange Serverissä seuraavia lievennyksiä.

Microsoftin mukaan paikallisten Microsoft Exchange -asiakkaiden tulee soveltaa uusia sääntöjä IIS-palvelimen URL Rewrite Rule -moduulin kautta.

• Valitse IIS Manager -> Default Web Site -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions -kohdassa Request Blocking ja lisää seuraava merkkijono URL-polkuun:

.*autodiscover.json.*@.*Powershell.*

Ehdon syötteeksi tulee asettaa {REQUEST_URI}

• Estä portit 5985 (HTTP) ja 5986 (HTTPS), koska niitä käytetään Remote PowerShellissä.

Jos käytät Exchange Onlinea:

Microsoft sanoi, että tämä ei vaikuta Exchange Online -asiakkaisiin, eikä heidän tarvitse tehdä mitään. Exchange Onlinea käyttävillä organisaatioilla on kuitenkin todennäköisesti hybridi Exchange-ympäristöjä, joissa on sekä on-prem- että pilvijärjestelmiä. Heidän tulee noudattaa yllä olevia ohjeita paikallisten palvelimien suojaamiseksi.