Microsoft ยืนยันแล้ว ช่องโหว่ Zero-day ใหม่สองช่องโหว่ใน Microsoft Exchange Server (CVE-2022-41040 และ CVE-2022-41082) กำลังถูกโจมตีใน "การโจมตีแบบจำกัดเป้าหมาย" ในกรณีที่ไม่มีโปรแกรมแก้ไขอย่างเป็นทางการ องค์กรควรตรวจสอบสภาพแวดล้อมของพวกเขาเพื่อหาสัญญาณของการเอารัดเอาเปรียบ และจากนั้นใช้ขั้นตอนการบรรเทาเหตุฉุกเฉิน
- CVE-2022-41040 — การปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ ทำให้ผู้โจมตีที่ตรวจสอบสิทธิ์แล้วส่งคำขอโดยอ้างว่าเป็นเครื่องที่ได้รับผลกระทบ
- CVE-2022-41082 — การเรียกใช้โค้ดจากระยะไกล ซึ่งช่วยให้ผู้โจมตีที่ตรวจสอบสิทธิ์สามารถเรียกใช้ PowerShell ได้ตามอำเภอใจ
“ปัจจุบันยังไม่มีสคริปต์การพิสูจน์แนวคิดหรือเครื่องมือการเอารัดเอาเปรียบที่รู้จักในธรรมชาติ” เขียน จอห์น แฮมมอนด์, นักล่าภัยคุกคามกับพรานหญิง อย่างไรก็ตาม นั่นก็หมายความว่านาฬิกากำลังเดินอยู่ ด้วยการมุ่งเน้นที่จุดอ่อนใหม่อีกครั้ง จึงต้องใช้เวลาก่อนที่จะหาช่องโหว่ใหม่หรือสคริปต์พิสูจน์แนวคิด
ขั้นตอนการตรวจจับการเอารัดเอาเปรียบ
ช่องโหว่แรก — ข้อบกพร่องของคำขอปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ — สามารถใช้เพื่อให้บรรลุเป้าหมายที่สอง — ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกล — แต่เวกเตอร์การโจมตีต้องการให้ฝ่ายตรงข้ามตรวจสอบสิทธิ์บนเซิร์ฟเวอร์อยู่แล้ว
ตาม GTSC องค์กรสามารถตรวจสอบว่า Exchange Server ของตนถูกโจมตีแล้วหรือไม่โดยเรียกใช้คำสั่ง PowerShell ต่อไปนี้:
รับ-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200 .'
GTSC ยังได้พัฒนาเครื่องมือในการค้นหาสัญญาณของการเอารัดเอาเปรียบและ เผยแพร่บน GitHub. รายการนี้จะได้รับการอัปเดตเมื่อบริษัทอื่นเปิดตัวเครื่องมือของตน
เครื่องมือเฉพาะของ Microsoft
- ตามที่ Microsoftมีการสืบค้นข้อมูลใน Microsoft Sentinel ที่สามารถใช้ค้นหาภัยคุกคามเฉพาะนี้ได้ หนึ่งในคำถามดังกล่าวคือ แลกเปลี่ยน SSRF Autodiscover ProxyShell การตรวจหา ซึ่งสร้างขึ้นเพื่อตอบสนองต่อ ProxyShell ใหม่ ดาวน์โหลดไฟล์ที่น่าสงสัยของ Exchange Server แบบสอบถามจะค้นหาการดาวน์โหลดที่น่าสงสัยในบันทึก IIS โดยเฉพาะ
- การแจ้งเตือนจาก Microsoft Defender for Endpoint เกี่ยวกับการติดตั้งเว็บเชลล์ที่เป็นไปได้, เว็บเชลล์ IIS ที่เป็นไปได้, การดำเนินการกระบวนการแลกเปลี่ยนที่น่าสงสัย, การใช้ประโยชน์จากช่องโหว่ของ Exchange Server ที่เป็นไปได้, กระบวนการที่น่าสงสัยที่บ่งบอกถึงเว็บเชลล์ และการประนีประนอม IIS ที่เป็นไปได้อาจเป็นสัญญาณว่า Exchange Server ได้รับ ถูกบุกรุกผ่านช่องโหว่ทั้งสอง
- Microsoft Defender จะตรวจจับความพยายามหลังการแสวงประโยชน์เป็น แบ็คดอร์:ASP/Webshell.Y และ แบ็คดอร์:Win32/RewriteHttp.A.
ผู้จำหน่ายระบบรักษาความปลอดภัยหลายรายได้ประกาศอัปเดตผลิตภัณฑ์ของตนเพื่อตรวจหาการแสวงประโยชน์เช่นกัน
Huntress กล่าวว่าได้เฝ้าติดตามเซิร์ฟเวอร์ Exchange ประมาณ 4,500 เซิร์ฟเวอร์ และขณะนี้กำลังตรวจสอบเซิร์ฟเวอร์เหล่านั้นเพื่อหาสัญญาณที่อาจมีการเอารัดเอาเปรียบในเซิร์ฟเวอร์เหล่านี้ “ในขณะนี้ Huntress ไม่เห็นสัญญาณของการเอารัดเอาเปรียบหรือสัญญาณบ่งชี้การประนีประนอมบนอุปกรณ์ของพันธมิตรของเรา” Hammond เขียน
ขั้นตอนการบรรเทาสาธารณภัยที่ต้องทำ
Microsoft สัญญาว่าจะดำเนินการแก้ไขอย่างรวดเร็ว ระหว่างนี้ องค์กรต่างๆ ควรใช้การบรรเทาปัญหาต่อไปนี้กับ Exchange Server เพื่อปกป้องเครือข่ายของตน
ตาม Microsoft ลูกค้า Microsoft Exchange ในสถานที่ควรใช้กฎใหม่ผ่านโมดูล URL Rewrite Rule บนเซิร์ฟเวอร์ IIS
- ใน IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions เลือก Request Blocking และเพิ่มสตริงต่อไปนี้ในเส้นทาง URL:
.*autodiscover.json.*@.*Powershell.*
อินพุตเงื่อนไขควรตั้งค่าเป็น {REQUEST_URI}
- บล็อกพอร์ต 5985 (HTTP) และ 5986 (HTTPS) เนื่องจากใช้สำหรับ Remote PowerShell
หากคุณกำลังใช้ Exchange Online:
Microsoft กล่าวว่าลูกค้า Exchange Online จะไม่ได้รับผลกระทบและไม่ต้องดำเนินการใดๆ อย่างไรก็ตาม องค์กรที่ใช้ Exchange Online มีแนวโน้มที่จะมีสภาพแวดล้อม Exchange แบบไฮบริด โดยมีการผสมผสานระหว่างระบบภายในองค์กรและระบบคลาวด์ พวกเขาควรปฏิบัติตามคำแนะนำข้างต้นเพื่อปกป้องเซิร์ฟเวอร์ภายในองค์กร
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์