マイクロソフトは確認しました Microsoft Exchange Server の XNUMX つの新しいゼロデイ脆弱性 (CVE-2022-41040 および CVE-2022-41082) は、「限定的な標的型攻撃」で悪用されています。 公式のパッチがない場合、組織は環境をチェックして悪用の兆候がないか確認し、緊急の緩和手順を適用する必要があります。
- CVE-2022-41040 — サーバー側のリクエスト フォージェリにより、認証された攻撃者が影響を受けるマシンを装ったリクエストを作成できるようになります。
- CVE-2022-41082 — 認証された攻撃者が任意の PowerShell を実行できるリモート コード実行。
「現在、実際に利用できる既知の概念実証スクリプトやエクスプロイト ツールはありません。」 ジョン・ハモンドが書いた、ハントレスを持つ脅威ハンター。 ただし、それは時計が刻々と過ぎていることを意味します。 脆弱性に再び焦点が当てられているため、新しいエクスプロイトまたは概念実証スクリプトが利用可能になるのは時間の問題です。
悪用を検出する手順
最初の脆弱性 (サーバー側のリクエスト フォージェリの欠陥) は、XNUMX つ目の脆弱性 (リモート コード実行の脆弱性) を達成するために使用できますが、攻撃ベクトルでは、攻撃者がサーバー上で既に認証されている必要があります。
GTSC に従って、組織は次の PowerShell コマンドを実行して、Exchange Server がすでに悪用されているかどうかを確認できます。
Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200
GTSC はまた、搾取の兆候を検索するツールを開発し、 GitHubでリリースしました. このリストは、他の企業がツールをリリースするたびに更新されます。
Microsoft 固有のツール
- マイクロソフトによると、この特定の脅威を探すために使用できるクエリが Microsoft Sentinel にあります。 そのようなクエリの XNUMX つが Exchange SSRF 自動検出プロキシシェル ProxyShell に対応して作成された検出。 新しい Exchange Server の疑わしいファイルのダウンロード クエリは、特に IIS ログで疑わしいダウンロードを探します。
- Web シェルのインストールの可能性、IIS Web シェルの可能性、疑わしい Exchange プロセスの実行、Exchange Server の脆弱性の悪用の可能性、Web シェルを示す疑わしいプロセス、IIS の侵害の可能性に関する Microsoft Defender for Endpoint からのアラートも、Exchange Server がXNUMX つの脆弱性によって侵害されました。
- Microsoft Defender は、悪用後の試みを次のように検出します。 バックドア:ASP/Webshell.Y & バックドア:Win32/RewriteHttp.A.
いくつかのセキュリティ ベンダーも、エクスプロイトを検出するための自社製品のアップデートを発表しています。
ハントレスは、約 4,500 台の Exchange サーバーを監視しており、現在、これらのサーバーでエクスプロイトの潜在的な兆候がないか調査していると述べています。 「現時点では、ハントレスは、パートナーのデバイスで悪用の兆候や侵害の兆候を確認していません」とハモンドは書いています。
実行する緩和手順
マイクロソフトは、修正を迅速に追跡していると約束しました。 それまでは、組織はネットワークを保護するために、次の軽減策を Exchange Server に適用する必要があります。
Microsoft によると、オンプレミスの Microsoft Exchange のお客様は、IIS サーバーの URL 書き換えルール モジュールを介して新しいルールを適用する必要があります。
- [IIS マネージャー] -> [既定の Web サイト] -> [自動検出] -> [URL 書き換え] -> [アクション] で、[要求のブロック] を選択し、次の文字列を URL パスに追加します。
.*autodiscover.json.*@.*Powershell.*
条件入力は {REQUEST_URI} に設定する必要があります
- ポート 5985 (HTTP) および 5986 (HTTPS) はリモート PowerShell に使用されるため、ブロックします。
Exchange Online を使用している場合:
Microsoft は、Exchange Online の顧客は影響を受けておらず、何らかの措置を講じる必要はないと述べています。 ただし、Exchange Online を使用している組織は、オンプレミス システムとクラウド システムが混在するハイブリッド Exchange 環境を使用している可能性があります。 オンプレミス サーバーを保護するには、上記のガイダンスに従う必要があります。