Microsoft har bekreftet to nye nulldagssårbarheter i Microsoft Exchange Server (CVE-2022-41040 og CVE-2022-41082) blir utnyttet i «begrensede, målrettede angrep». I mangel av en offisiell oppdatering, bør organisasjoner sjekke miljøene sine for tegn på utnyttelse og deretter ta i bruk nødreduksjonstrinnene.
- CVE-2022-41040 — Forespørselsforfalskning på serversiden, som lar autentiserte angripere komme med forespørsler som utgir seg for å være den berørte maskinen
- CVE-2022-41082 — Ekstern kjøring av kode, som lar autentiserte angripere kjøre vilkårlig PowerShell.
"Foreløpig er det ingen kjente proof-of-concept-skript eller utnyttelsesverktøy tilgjengelig i naturen," skrev John Hammond, en trusseljeger med Huntress. Det betyr imidlertid bare at klokken tikker. Med fornyet fokus på sårbarheten er det bare et spørsmål om tid før nye utnyttelser eller proof-of-concept-skript blir tilgjengelige.
Trinn for å oppdage utnyttelse
Den første sårbarheten – forespørselsforfalskningsfeilen på serversiden – kan brukes til å oppnå den andre – sårbarheten for ekstern kjøring av kode – men angrepsvektoren krever at motstanderen allerede er autentisering på serveren.
I henhold til GTSC kan organisasjoner sjekke om deres Exchange-servere allerede har blitt utnyttet ved å kjøre følgende PowerShell-kommando:
Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String - Pattern 'powershell.*Autodiscover.json.*@.*200
GTSC har også utviklet et verktøy for å søke etter tegn på utnyttelse og ga den ut på GitHub. Denne listen vil bli oppdatert etter hvert som andre selskaper slipper verktøyene sine.
Microsoft-spesifikke verktøy
- Ifølge Microsoft, er det spørringer i Microsoft Sentinel som kan brukes til å lete etter denne spesifikke trusselen. Et slikt spørsmål er Bytt SSRF Autodiscover ProxyShell deteksjon, som ble opprettet som svar på ProxyShell. Den nye Exchange Server mistenkelige filnedlastinger spørringen ser spesifikt etter mistenkelige nedlastinger i IIS-logger.
- Varsler fra Microsoft Defender for Endpoint angående mulig web-shell-installasjon, mulig IIS web-shell, mistenkelig Exchange-prosessutførelse, mulig utnyttelse av Exchange Server-sårbarheter, mistenkelige prosesser som indikerer et web-skall og mulig IIS-kompromittering kan også være tegn på at Exchange Server har blitt kompromittert via de to sårbarhetene.
- Microsoft Defender vil oppdage forsøkene etter utnyttelse som Bakdør: ASP/Webshell.Y og Bakdør:Win32/RewriteHttp.A.
Flere sikkerhetsleverandører har også annonsert oppdateringer til produktene deres for å oppdage utnyttelse.
Huntress sa at den overvåker omtrent 4,500 Exchange-servere og undersøker for tiden disse serverne for potensielle tegn på utnyttelse i disse serverne. "For øyeblikket har Huntress ikke sett noen tegn på utnyttelse eller indikatorer på kompromiss på våre partneres enheter," skrev Hammond.
Reduserende tiltak å ta
Microsoft lovet at det raskt sporer en reparasjon. Inntil da bør organisasjoner bruke følgende begrensninger på Exchange Server for å beskytte nettverkene sine.
Ifølge Microsoft bør lokale Microsoft Exchange-kunder bruke nye regler gjennom URL Rewrite Rule-modulen på IIS-serveren.
- I IIS Manager -> Standard nettsted -> Autodiscover -> URL Rewrite -> Actions, velg Request Blocking og legg til følgende streng i URL-banen:
.*autodiscover.json.*@.*Powershell.*
Tilstandsinndata skal settes til {REQUEST_URI}
- Blokker portene 5985 (HTTP) og 5986 (HTTPS) ettersom de brukes for Remote PowerShell.
Hvis du bruker Exchange Online:
Microsoft sa at Exchange Online-kunder ikke er berørt og ikke trenger å gjøre noe. Imidlertid vil organisasjoner som bruker Exchange Online sannsynligvis ha hybride Exchange-miljøer, med en blanding av lokale og skysystemer. De bør følge veiledningen ovenfor for å beskytte de lokale serverne.
