Microsoft підтвердила дві нові вразливості нульового дня в Microsoft Exchange Server (CVE-2022-41040 і CVE-2022-41082) використовуються в «обмежених цілеспрямованих атаках». За відсутності офіційного виправлення організації повинні перевірити своє середовище на наявність ознак експлуатації, а потім застосувати заходи для пом’якшення надзвичайних ситуацій.
- CVE-2022-41040 — підробка запитів на стороні сервера, що дозволяє автентифікованим зловмисникам робити запити під виглядом ураженої машини
- CVE-2022-41082 — віддалене виконання коду, що дозволяє автентифікованим зловмисникам запускати довільну оболонку PowerShell.
«На даний момент немає відомих сценаріїв підтвердження концепції або інструментів експлуатації, доступних у дикій природі», – написав Джон Хеммонд, мисливець за загрозами з Huntress. Однак це лише означає, що годинник цокає. З поновленим акцентом на вразливості це лише питання часу, коли з’являться нові експлойти або сценарії підтвердження концепції.
Кроки для виявлення експлуатації
Першу вразливість — помилку підробки запиту на стороні сервера — можна використати для досягнення другої — вразливості віддаленого виконання коду, але вектор атаки вимагає, щоб зловмисник уже пройшов автентифікацію на сервері.
Відповідно до GTSC організації можуть перевірити, чи їхні сервери Exchange уже були зловмисники, виконавши таку команду PowerShell:
Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200
GTSC також розробив інструмент для пошуку ознак експлуатації та випустив його на GitHub. Цей список буде оновлюватися, коли інші компанії випускатимуть свої інструменти.
Спеціальні інструменти Microsoft
- За даними Microsoft, у Microsoft Sentinel є запити, які можна використовувати для пошуку цієї конкретної загрози. Одним із таких запитів є Exchange SSRF Autodiscover ProxyShell виявлення, яке було створено у відповідь на ProxyShell. Новий Підозрілі завантаження файлів на сервер Exchange запит спеціально шукає підозрілі завантаження в журналах IIS.
- Попередження від Microsoft Defender для кінцевої точки щодо можливого встановлення веб-оболонки, можливої веб-оболонки IIS, підозрілого виконання процесу Exchange, можливого використання вразливостей сервера Exchange, підозрілих процесів, що вказують на веб-оболонку, і можливого компрометування IIS також можуть бути ознаками того, що сервер Exchange був зламаний. скомпрометовано через дві вразливості.
- Microsoft Defender виявить спроби після експлуатації як Бекдор: ASP/Webshell.Y та Бекдор: Win32/RewriteHttp.A.
Кілька постачальників засобів безпеки також оголосили про оновлення своїх продуктів для виявлення використання.
Huntress заявила, що відстежує приблизно 4,500 серверів Exchange і наразі досліджує ці сервери на предмет можливих ознак експлуатації на цих серверах. «На даний момент Huntress не помітила жодних ознак експлуатації або ознак компрометації на пристроях наших партнерів», — написав Хаммонд.
Необхідно вжити заходів щодо пом’якшення наслідків
Microsoft пообіцяла, що швидко вирішить проблему. До того часу організації повинні застосовувати наведені нижче заходи пом’якшення до Exchange Server, щоб захистити свої мережі.
Згідно з Microsoft, локальні клієнти Microsoft Exchange повинні застосувати нові правила через модуль URL Rewrite Rule на сервері IIS.
- У диспетчері IIS -> Веб-сайт за замовчуванням -> Автовизначення -> Перезапис URL-адреси -> Дії виберіть Запит на блокування та додайте такий рядок до URL-шляху:
.*autodiscover.json.*@.*Powershell.*
Для введення умови має бути {REQUEST_URI}
- Блокуйте порти 5985 (HTTP) і 5986 (HTTPS), оскільки вони використовуються для Remote PowerShell.
Якщо ви використовуєте Exchange Online:
У Microsoft заявили, що на клієнтів Exchange Online це не впливає, і їм не потрібно вживати жодних дій. Однак організації, які використовують Exchange Online, імовірно, матимуть гібридні середовища Exchange із поєднанням локальних і хмарних систем. Вони повинні дотримуватися наведених вище вказівок, щоб захистити локальні сервери.
