माइक्रोसॉफ्ट ने पुष्टि की है Microsoft Exchange सर्वर में दो नए शून्य-दिन भेद्यता (सीवीई-2022-41040 और सीवीई-2022-41082) का उपयोग "सीमित, लक्षित हमलों" में किया जा रहा है। एक आधिकारिक पैच की अनुपस्थिति में, संगठनों को शोषण के संकेतों के लिए अपने वातावरण की जांच करनी चाहिए और फिर आपातकालीन शमन कदमों को लागू करना चाहिए।
- CVE-2022-41040 - सर्वर-साइड अनुरोध जालसाजी, प्रमाणित हमलावरों को प्रभावित मशीन के रूप में अनुरोध करने की अनुमति देता है
- CVE-2022-41082 - रिमोट कोड निष्पादन, प्रमाणित हमलावरों को मनमाने ढंग से पावरशेल निष्पादित करने की अनुमति देता है।
"वर्तमान में, जंगली में कोई ज्ञात प्रूफ-ऑफ-कॉन्सेप्ट स्क्रिप्ट या शोषण टूल उपलब्ध नहीं हैं," जॉन हैमंड . ने लिखा, हंट्रेस के साथ एक ख़तरा शिकारी। हालाँकि, इसका सीधा सा मतलब है कि घड़ी टिक रही है। भेद्यता पर नए सिरे से ध्यान देने के साथ नए कारनामों या प्रूफ-ऑफ-कॉन्सेप्ट स्क्रिप्ट उपलब्ध होने से पहले की बात है।
शोषण का पता लगाने के लिए कदम
पहली भेद्यता - सर्वर-साइड अनुरोध जालसाजी दोष - का उपयोग दूसरे को प्राप्त करने के लिए किया जा सकता है - रिमोट कोड निष्पादन भेद्यता - लेकिन हमले के वेक्टर को सर्वर पर पहले से ही प्रमाणीकरण की आवश्यकता होती है।
प्रति GTSC, संगठन जाँच कर सकते हैं कि उनके एक्सचेंज सर्वर का पहले से ही निम्नलिखित पॉवरशेल कमांड को चलाकर शोषण किया गया है:
Get-ChildItem -Recurse -Path -Filter "*.log" | चयन-स्ट्रिंग -पैटर्न 'पावरशेल।*ऑटोडिस्कवर.जेसन.*@.*200
GTSC ने शोषण के संकेतों की खोज करने के लिए एक उपकरण भी विकसित किया है और इसे गिटहब पर जारी किया. इस सूची को अपडेट किया जाएगा क्योंकि अन्य कंपनियां अपने टूल जारी करती हैं।
माइक्रोसॉफ्ट-विशिष्ट उपकरण
- Microsoft के अनुसार, Microsoft Sentinel में ऐसे प्रश्न हैं जिनका उपयोग इस विशिष्ट खतरे का शिकार करने के लिए किया जा सकता है। ऐसी ही एक क्वेरी है एक्सचेंज SSRF ऑटोडिस्कवर प्रॉक्सीशेल डिटेक्शन, जिसे प्रॉक्सीशेल के जवाब में बनाया गया था। नई एक्सचेंज सर्वर संदिग्ध फ़ाइल डाउनलोड query विशेष रूप से IIS लॉग में संदिग्ध डाउनलोड की तलाश करती है।
- संभावित वेब शेल इंस्टॉलेशन, संभावित IIS वेब शेल, संदिग्ध एक्सचेंज प्रक्रिया निष्पादन, एक्सचेंज सर्वर कमजोरियों का संभावित शोषण, वेब शेल का संकेत देने वाली संदिग्ध प्रक्रियाएं, और संभावित IIS समझौता के बारे में एंडपॉइंट के लिए Microsoft डिफेंडर से अलर्ट भी संकेत हो सकते हैं कि एक्सचेंज सर्वर किया गया है। दो कमजोरियों के माध्यम से समझौता किया।
- माइक्रोसॉफ्ट डिफेंडर शोषण के बाद के प्रयासों का पता लगाएगा: पिछले दरवाजे: एएसपी / वेबशेल। वाई और पिछले दरवाजे:Win32/RewriteHttp.A.
कई सुरक्षा विक्रेताओं ने शोषण का पता लगाने के लिए अपने उत्पादों के अपडेट की भी घोषणा की है।
हंट्रेस ने कहा कि यह लगभग 4,500 एक्सचेंज सर्वरों की निगरानी करता है और वर्तमान में इन सर्वरों में शोषण के संभावित संकेतों के लिए उन सर्वरों की जांच कर रहा है। "फिलहाल, हंट्रेस ने हमारे भागीदारों के उपकरणों पर शोषण या समझौता के संकेतकों के कोई संकेत नहीं देखे हैं," हैमंड ने लिखा।
शमन कदम उठाने के लिए
Microsoft ने वादा किया था कि वह एक फिक्स को फास्ट-ट्रैक कर रहा है। तब तक, संगठनों को अपने नेटवर्क की सुरक्षा के लिए एक्सचेंज सर्वर पर निम्नलिखित शमन लागू करना चाहिए।
प्रति Microsoft, ऑन-प्रिमाइसेस Microsoft Exchange ग्राहकों को IIS सर्वर पर URL पुनर्लेखन नियम मॉड्यूल के माध्यम से नए नियम लागू करने चाहिए।
- IIS प्रबंधक में -> डिफ़ॉल्ट वेब साइट -> स्वतः खोज -> URL पुनर्लेखन -> क्रियाएँ, अनुरोध अवरोधन का चयन करें और URL पथ में निम्न स्ट्रिंग जोड़ें:
.*autodiscover.json.*@.*पॉवरशेल.*
शर्त इनपुट को {REQUEST_URI} पर सेट किया जाना चाहिए
- पोर्ट 5985 (HTTP) और 5986 (HTTPS) को ब्लॉक करें क्योंकि उनका उपयोग रिमोट पॉवरशेल के लिए किया जाता है।
यदि आप एक्सचेंज ऑनलाइन का उपयोग कर रहे हैं:
माइक्रोसॉफ्ट ने कहा कि एक्सचेंज ऑनलाइन ग्राहक प्रभावित नहीं हैं और उन्हें कोई कार्रवाई करने की जरूरत नहीं है। हालांकि, एक्सचेंज ऑनलाइन का उपयोग करने वाले संगठनों में ऑन-प्रिमाइसेस और क्लाउड सिस्टम के मिश्रण के साथ हाइब्रिड एक्सचेंज वातावरण होने की संभावना है। उन्हें ऑन-प्रिमाइसेस सर्वरों की सुरक्षा के लिए उपरोक्त मार्गदर्शन का पालन करना चाहिए।
