Vă faceți griji pentru schimbul Zero-Day? Iată ce să faci

Microsoft a confirmat două noi vulnerabilități zero-day în Microsoft Exchange Server (CVE-2022-41040 și CVE-2022-41082) sunt exploatate în „atacuri limitate, direcționate”. În absența unui patch oficial, organizațiile ar trebui să verifice mediile lor pentru semne de exploatare și apoi să aplice pașii de atenuare a situațiilor de urgență.

• CVE-2022-41040 — Falsificarea cererilor pe server, permițând atacatorilor autentificați să facă cereri pretinzându-se drept mașina afectată
• CVE-2022-41082 — Execuție de cod de la distanță, permițând atacatorilor autentificați să execute PowerShell arbitrar.

„În prezent, nu există scripturi de dovadă a conceptului sau instrumente de exploatare cunoscute disponibile în sălbăticie.” a scris John Hammond, un vânător de amenințări cu Huntress. Cu toate acestea, asta înseamnă doar că ceasul ticăie. Având o atenție reînnoită asupra vulnerabilității, este doar o chestiune de timp până când noi exploit-uri sau scripturi de dovadă a conceptului devin disponibile.

Pași pentru a detecta exploatarea

Prima vulnerabilitate – defectul de falsificare a cererilor de pe server – poate fi folosită pentru a realiza a doua – vulnerabilitatea de execuție a codului de la distanță – dar vectorul de atac necesită ca adversarul să fie deja autentificat pe server.

Conform GTSC, organizațiile pot verifica dacă serverele lor Exchange au fost deja exploatate prin rularea următoarei comenzi PowerShell:

Get-ChildItem -Recurse -Path -Filter „*.log” | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200

GTSC a dezvoltat, de asemenea, un instrument de căutare a semnelor de exploatare și l-a lansat pe GitHub. Această listă va fi actualizată pe măsură ce alte companii își lansează instrumentele.

Instrumente specifice Microsoft

• Potrivit Microsoft, există interogări în Microsoft Sentinel care ar putea fi folosite pentru a căuta această amenințare specifică. O astfel de interogare este Exchange SSRF Autodescoperire ProxyShell de detectare, care a fost creată ca răspuns la ProxyShell. Noul Descărcări suspecte de fișiere Exchange Server interogarea caută în mod special descărcări suspecte în jurnalele IIS.
• Alertele de la Microsoft Defender pentru Endpoint cu privire la o posibilă instalare web shell, posibilă shell web IIS, execuție suspectă a procesului Exchange, posibila exploatare a vulnerabilităților Exchange Server, procese suspecte care indică un shell web și posibilă compromitere IIS pot fi, de asemenea, semne că Exchange Server a fost compromis prin cele două vulnerabilități.
• Microsoft Defender va detecta încercările de post-exploatare ca Ușă din spate: ASP/Webshell.Y și Backdoor:Win32/RewriteHttp.A.

Mai mulți furnizori de securitate au anunțat actualizări ale produselor lor pentru a detecta și exploatarea.

Huntress a spus că monitorizează aproximativ 4,500 de servere Exchange și că investighează în prezent acele servere pentru potențiale semne de exploatare a acestor servere. „În acest moment, Huntress nu a văzut niciun semn de exploatare sau indicii de compromis pe dispozitivele partenerilor noștri”, a scris Hammond.

Pași de atenuare de urmat

Microsoft a promis că urmărește rapid o remediere. Până atunci, organizațiile ar trebui să aplice următoarele atenuări la Exchange Server pentru a-și proteja rețelele.

Conform Microsoft, clienții Microsoft Exchange la nivel local ar trebui să aplice reguli noi prin modulul regulii de rescriere URL de pe serverul IIS.

• În Manager IIS -> Site Web implicit -> Descoperire automată -> Rescriere URL -> Acțiuni, selectați Blocare cerere și adăugați următorul șir la Calea URL:

.*autodiscover.json.*@.*Powershell.*

Intrarea condiției trebuie setată la {REQUEST_URI}

• Blocați porturile 5985 (HTTP) și 5986 (HTTPS), deoarece sunt utilizate pentru Remote PowerShell.

Dacă utilizați Exchange Online:

Microsoft a spus că clienții Exchange Online nu sunt afectați și nu trebuie să ia nicio măsură. Cu toate acestea, este posibil ca organizațiile care folosesc Exchange Online să aibă medii hibride Exchange, cu o combinație de sisteme on-prem și cloud. Ar trebui să urmeze îndrumările de mai sus pentru a proteja serverele locale.