Беспокоитесь о нулевом дне биржи? Вот что делать

Microsoft подтвердила две новые уязвимости нулевого дня в Microsoft Exchange Server (CVE-2022-41040 и CVE-2022-41082) используются в «ограниченных целевых атаках». При отсутствии официального патча организациям следует проверить свою среду на наличие признаков эксплуатации, а затем принять меры по устранению последствий в чрезвычайных ситуациях.

• CVE-2022-41040 — подделка запроса на стороне сервера, позволяющая злоумышленникам, прошедшим проверку подлинности, делать запросы, выдавая себя за зараженную машину.
• CVE-2022-41082 — удаленное выполнение кода, позволяющее злоумышленникам, прошедшим проверку подлинности, выполнять произвольный PowerShell.

«В настоящее время нет известных сценариев проверки концепции или инструментов для эксплуатации, доступных в дикой природе», написал Джон Хаммонд, охотник за угрозами с Охотницей. Однако это всего лишь означает, что часы тикают. С новым вниманием к уязвимости появление новых эксплойтов или сценариев для проверки концепции является лишь вопросом времени.

Шаги для обнаружения эксплуатации

Первая уязвимость — подделка запросов на стороне сервера — может быть использована для достижения второй — уязвимости удаленного выполнения кода — но вектор атаки требует, чтобы злоумышленник уже прошел аутентификацию на сервере.

Согласно GTSC, организации могут проверить, не были ли уже взломаны их серверы Exchange, выполнив следующую команду PowerShell:

Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200

GTSC также разработала инструмент для поиска признаков эксплуатации и выпустил его на GitHub. Этот список будет обновляться по мере того, как другие компании выпускают свои инструменты.

Специальные инструменты Microsoft

• По данным Microsoft, в Microsoft Sentinel есть запросы, которые можно использовать для поиска этой конкретной угрозы. Одним из таких запросов является Exchange SSRF Автообнаружение ProxyShell обнаружение, которое было создано в ответ на ProxyShell. Новый Загрузка подозрительных файлов на сервер Exchange query специально ищет подозрительные загрузки в журналах IIS.
• Предупреждения Microsoft Defender для конечной точки о возможной установке веб-оболочки, возможной веб-оболочке IIS, подозрительном выполнении процесса Exchange, возможном использовании уязвимостей сервера Exchange, подозрительных процессах, указывающих на веб-оболочку, и возможной компрометации IIS также могут быть признаками того, что сервер Exchange был скомпрометирован через две уязвимости.
• Защитник Microsoft обнаружит попытки пост-эксплуатации как Бэкдор:ASP/Webshell.Y и Бэкдор: Win32/RewriteHttp.A.

Несколько поставщиков систем безопасности также объявили об обновлениях своих продуктов для обнаружения эксплойтов.

Huntress заявила, что отслеживает примерно 4,500 серверов Exchange и в настоящее время исследует эти серверы на предмет потенциальных признаков эксплуатации этих серверов. «На данный момент Huntress не обнаружила никаких признаков эксплуатации или индикаторов компрометации на устройствах наших партнеров», — написал Хаммонд.

Меры по смягчению последствий

Microsoft пообещала, что быстро отследит исправление. До тех пор организациям следует применять следующие меры по снижению риска для Exchange Server, чтобы защитить свои сети.

Согласно Microsoft, локальные клиенты Microsoft Exchange должны применять новые правила с помощью модуля правила перезаписи URL-адресов на сервере IIS.

• В Диспетчере IIS -> Веб-сайт по умолчанию -> Автообнаружение -> Перезапись URL-адреса -> Действия выберите Блокировка запроса и добавьте следующую строку в URL-путь:

.*autodiscover.json.*@.*Powershell.*

Ввод условия должен быть установлен на {REQUEST_URI}.

• Заблокируйте порты 5985 (HTTP) и 5986 (HTTPS), так как они используются для Remote PowerShell.

Если вы используете Exchange Online:

Microsoft заявила, что клиентов Exchange Online это не затронет, и им не нужно предпринимать никаких действий. Однако организации, использующие Exchange Online, скорее всего, будут иметь гибридные среды Exchange с сочетанием локальных и облачных систем. Они должны следовать приведенным выше рекомендациям для защиты локальных серверов.