Microsoft confirmou duas novas vulnerabilidades de dia zero no Microsoft Exchange Server (CVE-2022-41040 e CVE-2022-41082) estão sendo explorados em “ataques limitados e direcionados”. Na ausência de um patch oficial, as organizações devem verificar seus ambientes em busca de sinais de exploração e, em seguida, aplicar as etapas de mitigação de emergência.
- CVE-2022-41040 — Falsificação de solicitação do lado do servidor, permitindo que invasores autenticados façam solicitações se passando pela máquina afetada
- CVE-2022-41082 — Execução remota de código, permitindo que invasores autenticados executem o PowerShell arbitrário.
“Atualmente, não há scripts de prova de conceito conhecidos ou ferramentas de exploração disponíveis na natureza”, escreveu John Hammond, um caçador de ameaças com Huntress. No entanto, isso significa apenas que o relógio está correndo. Com foco renovado na vulnerabilidade, é apenas uma questão de tempo até que novas explorações ou scripts de prova de conceito fiquem disponíveis.
Etapas para detectar a exploração
A primeira vulnerabilidade – a falha de falsificação de solicitação do lado do servidor – pode ser usada para alcançar a segunda – a vulnerabilidade de execução remota de código – mas o vetor de ataque exige que o adversário já esteja autenticado no servidor.
De acordo com o GTSC, as organizações podem verificar se seus Exchange Servers já foram explorados executando o seguinte comando do PowerShell:
Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200
O GTSC também desenvolveu uma ferramenta de busca de indícios de exploração e lançou no GitHub. Esta lista será atualizada à medida que outras empresas lançarem suas ferramentas.
Ferramentas específicas da Microsoft
- De acordo com a Microsoft, há consultas no Microsoft Sentinel que podem ser usadas para caçar essa ameaça específica. Uma dessas consultas é a ProxyShell de descoberta automática de SSRF do Exchange detecção, que foi criada em resposta ao ProxyShell. O novo Downloads de arquivos suspeitos do Exchange Server consulta procura especificamente por downloads suspeitos nos logs do IIS.
- Alertas do Microsoft Defender for Endpoint sobre possível instalação de shell da web, possível shell da web do IIS, execução suspeita de processo do Exchange, possível exploração de vulnerabilidades do Exchange Server, processos suspeitos indicativos de um shell da web e possível comprometimento do IIS também podem ser sinais de que o Exchange Server foi comprometidos por meio das duas vulnerabilidades.
- O Microsoft Defender detectará as tentativas de pós-exploração conforme Backdoor: ASP/Webshell.Y e Backdoor:Win32/RewriteHttp.A.
Vários fornecedores de segurança também anunciaram atualizações em seus produtos para detectar exploração.
A Huntress disse que monitora aproximadamente 4,500 servidores Exchange e está atualmente investigando esses servidores em busca de possíveis sinais de exploração nesses servidores. “No momento, a Huntress não viu nenhum sinal de exploração ou indicadores de comprometimento nos dispositivos de nossos parceiros”, escreveu Hammond.
Etapas de mitigação a serem tomadas
A Microsoft prometeu que está acelerando uma correção. Até lá, as organizações devem aplicar as seguintes atenuações ao Exchange Server para proteger suas redes.
De acordo com a Microsoft, os clientes locais do Microsoft Exchange devem aplicar novas regras por meio do módulo Regra de regravação de URL no servidor IIS.
- No Gerenciador do IIS -> Site da Web padrão -> Descoberta automática -> Reescrita de URL -> Ações, selecione Bloqueio de solicitação e adicione a seguinte string ao Caminho da URL:
.*autodiscover.json.*@.*Powershell.*
A entrada de condição deve ser definida como {REQUEST_URI}
- Bloqueie as portas 5985 (HTTP) e 5986 (HTTPS), pois elas são usadas para o Remote PowerShell.
Se você estiver usando o Exchange Online:
A Microsoft disse que os clientes do Exchange Online não são afetados e não precisam tomar nenhuma ação. No entanto, as organizações que usam o Exchange Online provavelmente terão ambientes híbridos do Exchange, com uma combinação de sistemas locais e em nuvem. Eles devem seguir as orientações acima para proteger os servidores locais.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
