A Microsoft megerősítette két új nulladik napi sebezhetőség a Microsoft Exchange Serverben (CVE-2022-41040 és CVE-2022-41082) „korlátozott, célzott támadásokra” használják fel. Hivatalos javítás hiányában a szervezeteknek ellenőrizniük kell a környezetüket a kizsákmányolás jeleire, majd alkalmazniuk kell a vészhelyzet-enyhítő lépéseket.
- CVE-2022-41040 – Szerveroldali kérés-hamisítás, amely lehetővé teszi a hitelesített támadók számára, hogy az érintett gépként fellépő kéréseket küldjenek
- CVE-2022-41082 – Távoli kódvégrehajtás, amely lehetővé teszi a hitelesített támadók számára tetszőleges PowerShell futtatását.
„Jelenleg a vadonban nem állnak rendelkezésre ismert proof-of-concept szkriptek vagy kizsákmányoló eszközök” írta John Hammond, fenyegetésvadász a Huntress-szel. Ez azonban csak azt jelenti, hogy ketyeg az óra. A sebezhetőségre való újbóli összpontosítással csak idő kérdése, hogy mikor válnak elérhetővé új kizsákmányolások vagy proof-of-concept szkriptek.
A kizsákmányolás észlelésének lépései
Az első sérülékenység – a szerveroldali kérés-hamisítási hiba – felhasználható a második – a távoli kódvégrehajtási rés – eléréséhez, de a támadási vektor megköveteli, hogy az ellenfél már hitelesítse magát a szerveren.
A GTSC szerint a szervezetek a következő PowerShell-parancs futtatásával ellenőrizhetik, hogy az Exchange-kiszolgálóikat kihasználták-e már:
Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String - Pattern 'powershell.*Autodiscover.json.*@.*200
A GTSC egy olyan eszközt is kifejlesztett, amellyel a kizsákmányolás jeleit keresheti és kiadta a GitHubon. Ez a lista frissülni fog, amint más cégek kiadják eszközeiket.
Microsoft-specifikus eszközök
- A Microsoft szerint, vannak olyan lekérdezések a Microsoft Sentinelben, amelyek segítségével fel lehet keresni ezt a konkrét fenyegetést. Az egyik ilyen lekérdezés a Exchange SSRF Autodiscover ProxyShell észlelés, amely a ProxyShellre válaszul jött létre. Az új Az Exchange Server gyanús fájlok letöltése A lekérdezés kifejezetten a gyanús letöltéseket keresi az IIS-naplókban.
- A Microsoft Defender for Endpoint figyelmeztetései a lehetséges webshell-telepítésről, az esetleges IIS webshellről, a gyanús Exchange-folyamat-végrehajtásról, az Exchange Server sebezhetőségeinek lehetséges kihasználásáról, a webes shellre utaló gyanús folyamatokról és az IIS esetleges kompromittálásáról szintén jelezhetik az Exchange Servert. a két sérülékenység révén veszélybe került.
- A Microsoft Defender észleli az utólagos kihasználási kísérleteket Hátsó ajtó: ASP/Webshell.Y és a Hátsó ajtó: Win32/RewriteHttp.A.
Több biztonsági gyártó is bejelentette termékeinek frissítését a kizsákmányolás észlelése érdekében.
A Huntress elmondta, hogy körülbelül 4,500 Exchange-kiszolgálót figyel, és jelenleg is vizsgálja ezeket a szervereket a kiszolgálók kihasználásának lehetséges jeleit keresve. „Jelenleg a Huntress nem észlelte a kizsákmányolás vagy a kompromisszum jeleit partnereink eszközein” – írta Hammond.
Mérséklő lépések
A Microsoft megígérte, hogy gyorsított javítást hajt végre. Addig is a szervezeteknek a következő enyhítéseket kell alkalmazniuk az Exchange Server rendszeren hálózataik védelme érdekében.
A Microsoft szerint a helyszíni Microsoft Exchange ügyfeleknek új szabályokat kell alkalmazniuk az IIS-kiszolgálón található URL-újraírási szabály modulon keresztül.
- Az IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions alatt válassza a Letiltási kérés lehetőséget, és adja hozzá a következő karakterláncot az URL elérési útjához:
.*autodiscover.json.*@.*Powershell.*
A feltétel bevitelét a következőre kell állítani: {REQUEST_URI}
- Blokkolja az 5985-ös (HTTP) és az 5986-os (HTTPS) portokat, mivel azokat a távoli PowerShellhez használják.
Ha Exchange Online-t használ:
A Microsoft szerint az Exchange Online ügyfeleit ez nem érinti, és nem kell semmit tenniük. Az Exchange Online-t használó szervezetek azonban valószínűleg hibrid Exchange-környezetekkel rendelkeznek, amelyek vegyesen tartalmaznak helyszíni és felhőrendszereket. A helyszíni szerverek védelme érdekében követniük kell a fenti útmutatást.
