Vas skrbi Exchange Zero-Day? Tukaj je, kaj storiti

Microsoft je potrdil dve novi zero-day ranljivosti v strežniku Microsoft Exchange Server (CVE-2022-41040 and CVE-2022-41082) are being exploited in “limited, targeted attacks.” In the absence of an official patch, organizations should check their environments for signs of exploitation and then apply the emergency mitigation steps.

• CVE-2022-41040 — Ponarejanje zahtev na strani strežnika, ki preverjenim napadalcem omogoča pošiljanje zahtev, ki se predstavljajo kot prizadeti stroj
• CVE-2022-41082 — Oddaljeno izvajanje kode, ki preverjenim napadalcem omogoča izvajanje poljubne lupine PowerShell.

“Currently, there are no known proof-of-concept scripts or exploitation tooling available in the wild,” je zapisal John Hammond, lovec na grožnje z Huntress. Vendar to samo pomeni, da ura tiktaka. S ponovnim osredotočenjem na ranljivost je samo vprašanje časa, kdaj bodo na voljo nova izkoriščanja ali skripti za dokaz koncepta.

Koraki za odkrivanje izkoriščanja

Prvo ranljivost – napako pri ponarejanju zahtev na strani strežnika – je mogoče uporabiti za dosego druge – ranljivost oddaljenega izvajanja kode – vendar vektor napada zahteva, da je nasprotnik že avtentikiran na strežniku.

Po GTSC lahko organizacije preverijo, ali so bili njihovi strežniki Exchange že izkoriščeni, tako da zaženejo naslednji ukaz PowerShell:

Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200

GTSC je razvil tudi orodje za iskanje znakov izkoriščanja in objavil na GitHubu. Ta seznam bo posodobljen, ko bodo druga podjetja izdala svoja orodja.

Orodja, specifična za Microsoft

• Glede na Microsoft, obstajajo poizvedbe v programu Microsoft Sentinel, ki bi jih lahko uporabili za iskanje te specifične grožnje. Ena taka poizvedba je Exchange SSRF Autodiscover ProxyShell zaznavanje, ki je bilo ustvarjeno kot odziv na lupino ProxyShell. Novi Sumljivi prenosi datotek v strežnik Exchange poizvedba posebej išče sumljive prenose v dnevnikih IIS.
• Opozorila programa Microsoft Defender for Endpoint glede morebitne namestitve spletne lupine, možne spletne lupine IIS, sumljivega izvajanja procesa Exchange, možnega izkoriščanja ranljivosti strežnika Exchange Server, sumljivih procesov, ki kažejo na spletno lupino, in morebitnega ogrožanja IIS so lahko tudi znaki, da je bil strežnik Exchange ogrožena zaradi dveh ranljivosti.
• Microsoft Defender bo zaznal poskuse po izkoriščanju kot Zadnja vrata: ASP/Webshell.Y in Backdoor:Win32/RewriteHttp.A.

Več prodajalcev varnosti je napovedalo tudi posodobitve svojih izdelkov za odkrivanje izkoriščanja.

Huntress said it monitors approximately 4,500 Exchange servers and is currently investigating those servers for potential signs of exploitation in these servers. “At the moment, Huntress has not seen any signs of exploitation or indicators of compromise on our partners’ devices,” Hammond wrote.

Ukrepi za ublažitev

Microsoft je obljubil, da bo hitro odpravil popravek. Do takrat bi morale organizacije za zaščito svojih omrežij uporabiti naslednje ublažitve za Exchange Server.

Po mnenju Microsofta morajo lokalne stranke Microsoft Exchange uporabiti nova pravila prek modula URL Rewrite Rule na strežniku IIS.

• V IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions izberite Request Blocking in dodajte naslednji niz v URL Path:

.*autodiscover.json.*@.*Powershell.*

Vnos pogoja mora biti nastavljen na {REQUEST_URI}

• Blokirajte vrata 5985 (HTTP) in 5986 (HTTPS), ker se uporabljajo za Remote PowerShell.

Če uporabljate Exchange Online:

Microsoft je dejal, da stranke Exchange Online niso prizadete in jim ni treba ukrepati. Vendar bodo organizacije, ki uporabljajo Exchange Online, najverjetneje imele hibridna okolja Exchange z mešanico lokalnih sistemov in sistemov v oblaku. Upoštevati morajo zgornja navodila za zaščito strežnikov na strežniku.