Microsoft heeft bevestigd twee nieuwe zero-day kwetsbaarheden in Microsoft Exchange Server (CVE-2022-41040 en CVE-2022-41082) worden uitgebuit in "beperkte, gerichte aanvallen". Als er geen officiële patch is, moeten organisaties hun omgevingen controleren op tekenen van uitbuiting en vervolgens de noodmaatregelen toepassen.
- CVE-2022-41040 — Vervalsing van verzoeken aan de serverzijde, waardoor geverifieerde aanvallers verzoeken kunnen indienen die zich voordoen als de getroffen machine
- CVE-2022-41082 — Uitvoering van externe code, waardoor geverifieerde aanvallers willekeurige PowerShell kunnen uitvoeren.
"Momenteel zijn er in het wild geen proof-of-concept-scripts of exploitatietools beschikbaar", schreef John Hammond, een bedreigingsjager met Huntress. Dat betekent echter alleen maar dat de klok tikt. Met hernieuwde focus op de kwetsbaarheid is het slechts een kwestie van tijd voordat nieuwe exploits of proof-of-concept scripts beschikbaar komen.
Stappen om uitbuiting te detecteren
De eerste kwetsbaarheid – de fout in de aanvraagvervalsing aan de serverzijde – kan worden gebruikt om de tweede te bereiken – de kwetsbaarheid voor het uitvoeren van externe code – maar de aanvalsvector vereist dat de aanvaller al authenticatie op de server heeft.
Per GTSC kunnen organisaties controleren of hun Exchange Servers al zijn misbruikt door de volgende PowerShell-opdracht uit te voeren:
Get-ChildItem -Recurse -Pad -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200
GTSC heeft ook een tool ontwikkeld om te zoeken naar tekenen van uitbuiting en vrijgegeven op GitHub. Deze lijst wordt bijgewerkt naarmate andere bedrijven hun tools vrijgeven.
Microsoft-specifieke tools
- Volgens Microsoft, zijn er zoekopdrachten in Microsoft Sentinel die kunnen worden gebruikt om op deze specifieke bedreiging te jagen. Een dergelijke vraag is de Exchange SSRF Autodiscover ProxyShell detectie, die is gemaakt als reactie op ProxyShell. De nieuwe Exchange Server verdachte bestandsdownloads query zoekt specifiek naar verdachte downloads in IIS-logboeken.
- Waarschuwingen van Microsoft Defender for Endpoint met betrekking tot mogelijke webshell-installatie, mogelijke IIS-webshell, verdachte Exchange-procesuitvoering, mogelijke exploitatie van Exchange Server-kwetsbaarheden, verdachte processen die wijzen op een webshell en mogelijk IIS-compromittering kunnen ook tekenen zijn dat de Exchange Server is gecompromitteerd via de twee kwetsbaarheden.
- Microsoft Defender zal de post-exploitatiepogingen detecteren als: Achterdeur: ASP/Webshell.Y en Achterdeur:Win32/RewriteHttp.A.
Verschillende beveiligingsleveranciers hebben updates voor hun producten aangekondigd om ook misbruik te detecteren.
Huntress zei dat het ongeveer 4,500 Exchange-servers bewaakt en momenteel die servers onderzoekt op mogelijke tekenen van uitbuiting op deze servers. "Op dit moment heeft Huntress geen tekenen van uitbuiting of tekenen van compromis gezien op de apparaten van onze partners", schreef Hammond.
Maatregelen om maatregelen te nemen
Microsoft beloofde dat het een snelle oplossing aan het zoeken is. Tot die tijd moeten organisaties de volgende maatregelen toepassen op Exchange Server om hun netwerken te beschermen.
Volgens Microsoft moeten on-premises Microsoft Exchange-klanten nieuwe regels toepassen via de module URL Rewrite Rule op de IIS-server.
- In IIS Manager -> Standaardwebsite -> Autodiscover -> URL herschrijven -> Acties, selecteer Blokkering aanvragen en voeg de volgende tekenreeks toe aan het URL-pad:
.*autodiscover.json.*@.*Powershell.*
De invoer van de voorwaarde moet worden ingesteld op {REQUEST_URI}
- Blokkeer poorten 5985 (HTTP) en 5986 (HTTPS) zoals ze worden gebruikt voor Remote PowerShell.
Als u Exchange Online gebruikt:
Microsoft zei dat Exchange Online-klanten niet worden getroffen en geen actie hoeven te ondernemen. Organisaties die Exchange Online gebruiken, hebben echter waarschijnlijk hybride Exchange-omgevingen, met een mix van on-premises en cloudsystemen. Ze moeten de bovenstaande richtlijnen volgen om de on-premises servers te beschermen.
