מיקרוסופט אישרה שתי נקודות תורפה חדשות של יום אפס ב-Microsoft Exchange Server (CVE-2022-41040 ו-CVE-2022-41082) מנוצלים ב"התקפות מוגבלות וממוקדות". בהיעדר תיקון רשמי, ארגונים צריכים לבדוק את הסביבה שלהם לאיתור סימני ניצול ולאחר מכן ליישם את השלבים להפחתת חירום.
- CVE-2022-41040 - זיוף בקשות בצד השרת, המאפשר לתוקפים מאומתים לשלוח בקשות המתחזות למחשב המושפע
- CVE-2022-41082 - ביצוע קוד מרחוק, המאפשר לתוקפים מאומתים לבצע PowerShell שרירותי.
"נכון לעכשיו, אין תסריטים ידועים להוכחת מושג או כלי ניצול זמינים בטבע," כתב ג'ון האמונד, צייד איומים עם צייד. עם זאת, זה רק אומר שהשעון מתקתק. עם התמקדות מחודשת בפגיעות, זה רק עניין של זמן עד שמנצלים חדשים או סקריפטים הוכחת-קונספטים יהיו זמינים.
שלבים לזיהוי ניצול
ניתן להשתמש בפגיעות הראשונה - פגם בזיוף הבקשות בצד השרת - כדי להשיג את השני - פגיעות ביצוע קוד מרחוק - אך וקטור ההתקפה מחייב את היריב להיות כבר אימות בשרת.
לפי GTSC, ארגונים יכולים לבדוק אם שרתי ה-Exchange שלהם כבר נוצלו על ידי הפעלת הפקודה הבאה של PowerShell:
Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200
GTSC פיתחה גם כלי לחיפוש סימני ניצול ו הוציא אותו ב-GitHub. רשימה זו תתעדכן כאשר חברות אחרות ישחררו את הכלים שלהן.
כלים ספציפיים למיקרוסופט
- לדברי מיקרוסופט, ישנן שאילתות ב-Microsoft Sentinel שיכולות לשמש כדי לחפש את האיום הספציפי הזה. שאילתה אחת כזו היא Exchange SSRF Autodiscover ProxyShell זיהוי, שנוצר בתגובה ל-ProxyShell. החדש הורדות קבצים חשודות בשרת Exchange השאילתה מחפשת במיוחד הורדות חשודות ביומני IIS.
- התראות מ-Microsoft Defender for Endpoint בנוגע להתקנת מעטפת אינטרנט אפשרית, מעטפת אינטרנט אפשרית של IIS, ביצוע חשוד של תהליך Exchange, ניצול אפשרי של פגיעויות של Exchange Server, תהליכים חשודים המעידים על מעטפת אינטרנט ופגיעה אפשרית ב- IIS יכולים להיות סימנים לכך ש- Exchange Server היה נפגע באמצעות שתי נקודות התורפה.
- Microsoft Defender יזהה את הניסיונות שלאחר הניצול כמו דלת אחורית: ASP/Webshell.Y ו דלת אחורית:Win32/RewriteHttp.A.
מספר ספקי אבטחה הכריזו גם על עדכונים למוצרים שלהם כדי לזהות ניצול.
Huntress אמרה כי היא עוקבת אחר כ-4,500 שרתי Exchange וכיום היא חוקרת את השרתים הללו לאיתור סימנים פוטנציאליים לניצול בשרתים אלו. "כרגע, האנטרס לא ראתה שום סימני ניצול או אינדיקטורים של פשרה על המכשירים של השותפים שלנו", כתב האמונד.
צעדי הקלה שיש לנקוט
מיקרוסופט הבטיחה שהיא מבצעת מעקב מהיר אחר תיקון. עד אז, ארגונים צריכים להחיל את ההנחות הבאות על Exchange Server כדי להגן על הרשתות שלהם.
לפי מיקרוסופט, לקוחות Microsoft Exchange מקומיים צריכים להחיל כללים חדשים באמצעות מודול כלל שכתוב URL בשרת IIS.
- במנהל IIS -> אתר ברירת מחדל -> גילוי אוטומטי -> שכתוב כתובת URL -> פעולות, בחר בקש חסימה והוסף את המחרוזת הבאה לנתיב כתובת האתר:
.*autodiscover.json.*@.*Powershell.*
יש להגדיר את קלט התנאי ל-{REQUEST_URI}
- חסום יציאות 5985 (HTTP) ו-5986 (HTTPS) כפי שהם משמשים עבור PowerShell מרחוק.
אם אתה משתמש ב-Exchange Online:
מיקרוסופט אמרה שלקוחות Exchange Online אינם מושפעים ואינם צריכים לנקוט פעולה כלשהי. עם זאת, סביר להניח שארגונים המשתמשים ב-Exchange Online יהיו בעלי סביבות Exchange היברידיות, עם שילוב של מערכות מקומיות ומערכות ענן. עליהם לעקוב אחר ההנחיות לעיל כדי להגן על השרתים המקומיים.
