Microsoft telah mengkonfirmasi dua kerentanan zero-day baru di Microsoft Exchange Server (CVE-2022-41040 dan CVE-2022-41082) sedang dieksploitasi dalam “serangan terbatas yang ditargetkan.” Dengan tidak adanya patch resmi, organisasi harus memeriksa lingkungan mereka untuk tanda-tanda eksploitasi dan kemudian menerapkan langkah-langkah mitigasi darurat.
- CVE-2022-41040 — Pemalsuan permintaan sisi server, memungkinkan penyerang yang diautentikasi untuk membuat permintaan yang menyamar sebagai mesin yang terpengaruh
- CVE-2022-41082 — Eksekusi Kode Jarak Jauh, memungkinkan penyerang yang diautentikasi untuk mengeksekusi PowerShell sewenang-wenang.
“Saat ini, tidak ada skrip bukti konsep atau alat eksploitasi yang diketahui tersedia di alam liar,” tulis John Hammond, seorang pemburu ancaman dengan Huntress. Namun, itu hanya berarti jam terus berdetak. Dengan fokus baru pada kerentanan, hanya masalah waktu sebelum eksploitasi baru atau skrip proof-of-concept tersedia.
Langkah-Langkah Mendeteksi Eksploitasi
Kerentanan pertama — kelemahan pemalsuan permintaan sisi server — dapat digunakan untuk mencapai yang kedua — kerentanan eksekusi kode jarak jauh — tetapi vektor serangan mengharuskan musuh sudah menjadi autentikasi di server.
Per GTSC, organisasi dapat memeriksa apakah Server Exchange mereka telah dieksploitasi dengan menjalankan perintah PowerShell berikut:
Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200
GTSC juga telah mengembangkan alat untuk mencari tanda-tanda eksploitasi dan merilisnya di GitHub. Daftar ini akan diperbarui saat perusahaan lain merilis alat mereka.
Alat Khusus Microsoft
- Menurut Microsoft, ada pertanyaan di Microsoft Sentinel yang dapat digunakan untuk mencari ancaman khusus ini. Salah satu kueri tersebut adalah Tukarkan SSRF Autodiscover ProxyShell deteksi, yang dibuat sebagai tanggapan terhadap ProxyShell. Yang baru Unduhan File Mencurigakan Server Exchange kueri secara khusus mencari unduhan yang mencurigakan di log IIS.
- Peringatan dari Microsoft Defender for Endpoint mengenai kemungkinan instalasi web shell, kemungkinan web shell IIS, Eksekusi Proses Exchange yang mencurigakan, kemungkinan eksploitasi kerentanan Exchange Server, proses mencurigakan yang menunjukkan web shell, dan kemungkinan kompromi IIS juga dapat menjadi tanda bahwa Exchange Server telah dikompromikan melalui dua kerentanan.
- Microsoft Defender akan mendeteksi upaya pasca-eksploitasi sebagai Pintu belakang: ASP/Webshell.Y dan Pintu belakang: Win32/RewriteHttp.A.
Beberapa vendor keamanan juga telah mengumumkan pembaruan pada produk mereka untuk mendeteksi eksploitasi.
Huntress mengatakan pihaknya memantau sekitar 4,500 server Exchange dan saat ini sedang menyelidiki server tersebut untuk tanda-tanda potensi eksploitasi di server ini. "Saat ini, Huntress belum melihat tanda-tanda eksploitasi atau indikator kompromi pada perangkat mitra kami," tulis Hammond.
Langkah-Langkah Mitigasi yang Harus Dilakukan
Microsoft berjanji akan mempercepat perbaikan. Sampai saat itu, organisasi harus menerapkan mitigasi berikut ke Exchange Server untuk melindungi jaringan mereka.
Per Microsoft, pelanggan Microsoft Exchange lokal harus menerapkan aturan baru melalui modul Aturan Penulisan Ulang URL di server IIS.
- Di IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions, pilih Request Blocking dan tambahkan string berikut ke URL Path:
.*autodiscover.json.*@.*Powershell.*
Masukan kondisi harus disetel ke {REQUEST_URI}
- Blokir port 5985 (HTTP) dan 5986 (HTTPS) seperti yang digunakan untuk Remote PowerShell.
Jika Anda menggunakan Exchange Online:
Microsoft mengatakan pelanggan Exchange Online tidak terpengaruh dan tidak perlu mengambil tindakan apa pun. Namun, organisasi yang menggunakan Exchange Online cenderung memiliki lingkungan Exchange hibrid, dengan campuran sistem lokal dan cloud. Mereka harus mengikuti panduan di atas untuk melindungi server lokal.
