마이크로소프트가 확인했다 Microsoft Exchange Server의 두 가지 새로운 제로데이 취약점 (CVE-2022-41040 및 CVE-2022-41082)는 "제한된 표적 공격"에 악용되고 있습니다. 공식 패치가 없는 경우 조직은 악용 징후가 있는지 환경을 확인한 다음 긴급 완화 단계를 적용해야 합니다.
- CVE-2022-41040 — 서버 측 요청 위조로 인증된 공격자가 영향을 받는 시스템으로 가장하여 요청을 할 수 있습니다.
- CVE-2022-41082 — 원격 코드 실행으로 인증된 공격자가 임의의 PowerShell을 실행할 수 있습니다.
"현재로서는 알려진 개념 증명 스크립트나 악용 도구가 없습니다." 존 해먼드를 썼다, Huntress와 위협 사냥꾼. 그러나 그것은 단지 시계가 똑딱거리고 있다는 것을 의미합니다. 취약점에 대한 새로운 초점으로 새로운 익스플로잇이나 개념 증명 스크립트를 사용할 수 있게 되는 것은 시간 문제입니다.
악용을 감지하는 단계
첫 번째 취약성(서버 측 요청 위조 결함)은 두 번째(원격 코드 실행 취약성)를 달성하는 데 사용할 수 있지만 공격 벡터는 상대방이 이미 서버에서 인증을 받아야 합니다.
조직은 GTSC에 따라 다음 PowerShell 명령을 실행하여 Exchange 서버가 이미 악용되었는지 확인할 수 있습니다.
Get-ChildItem -Recurse -경로 -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200
GTSC는 또한 착취의 징후를 검색하고 GitHub에 공개했습니다.. 이 목록은 다른 회사에서 도구를 출시하면 업데이트됩니다.
Microsoft 전용 도구
- Microsoft에 따르면, 이 특정 위협을 추적하는 데 사용할 수 있는 쿼리가 Microsoft Sentinel에 있습니다. 그러한 쿼리 중 하나는 Exchange SSRF 자동 검색 ProxyShell ProxyShell에 대한 응답으로 생성된 탐지. 새로운 Exchange Server 의심스러운 파일 다운로드 쿼리는 특히 IIS 로그에서 의심스러운 다운로드를 찾습니다.
- 웹 셸 설치 가능성, IIS 웹 셸 가능성, 의심스러운 Exchange 프로세스 실행, Exchange Server 취약성 악용 가능성, 웹 셸을 나타내는 의심스러운 프로세스 및 IIS 손상 가능성에 대한 Microsoft Defender for Endpoint 경고도 Exchange Server가 공격을 받았다는 신호일 수 있습니다. 두 가지 취약점을 통해 손상되었습니다.
- Microsoft Defender는 악용 후 시도를 다음과 같이 감지합니다. 백도어:ASP/Webshell.Y 와 백도어:Win32/RewriteHttp.A.
여러 보안 공급업체는 악용을 감지하기 위한 제품 업데이트도 발표했습니다.
Huntress는 약 4,500개의 Exchange 서버를 모니터링하고 있으며 현재 이러한 서버에서 잠재적인 악용 징후가 있는지 조사하고 있다고 말했습니다. Hammond는 "현재 Huntress는 파트너의 장치에서 악용의 징후나 손상의 징후를 보지 못했습니다.
취해야 할 완화 조치
Microsoft는 수정 사항을 신속하게 추적할 것이라고 약속했습니다. 그때까지 조직은 네트워크를 보호하기 위해 Exchange Server에 다음 완화 조치를 적용해야 합니다.
Microsoft에 따라 온-프레미스 Microsoft Exchange 고객은 IIS 서버의 URL 재작성 규칙 모듈을 통해 새 규칙을 적용해야 합니다.
- IIS 관리자 -> 기본 웹 사이트 -> 자동 검색 -> URL 다시 쓰기 -> 작업에서 요청 차단을 선택하고 URL 경로에 다음 문자열을 추가합니다.
.*autodiscover.json.*@.*Powershell.*
조건 입력은 {REQUEST_URI}로 설정되어야 합니다.
- 원격 PowerShell에 사용되는 포트 5985(HTTP) 및 5986(HTTPS)을 차단합니다.
Exchange Online을 사용하는 경우:
마이크로소프트는 익스체인지 온라인 고객들은 영향을 받지 않으며 어떠한 조치도 취할 필요가 없다고 말했다. 그러나 Exchange Online을 사용하는 조직에는 온프레미스 및 클라우드 시스템이 혼합된 하이브리드 Exchange 환경이 있을 수 있습니다. 온프레미스 서버를 보호하려면 위의 지침을 따라야 합니다.
