ایکسچینج زیرو ڈے کے بارے میں فکر مند ہیں؟ PlatoBlockchain ڈیٹا انٹیلی جنس کیا کرنا ہے یہ ہے۔ عمودی تلاش۔ عی

ایکسچینج زیرو ڈے کے بارے میں فکر مند ہیں؟ یہاں کیا کرنا ہے۔

ٹائم سٹیمپ: 30 ستمبر 2022 شام 6:14 بجے

مائیکروسافٹ نے تصدیق کی ہے۔ مائیکروسافٹ ایکسچینج سرور میں دو نئے صفر دن کے خطرات (CVE-2022-41040 اور CVE-2022-41082) کا "محدود، ٹارگٹڈ حملوں" میں استحصال کیا جا رہا ہے۔ سرکاری پیچ کی غیر موجودگی میں، تنظیموں کو استحصال کی علامات کے لیے اپنے ماحول کی جانچ کرنی چاہیے اور پھر ہنگامی تخفیف کے اقدامات کا اطلاق کرنا چاہیے۔

  • CVE-2022-41040 — سرور کی طرف سے درخواست کی جعلسازی، تصدیق شدہ حملہ آوروں کو متاثرہ مشین کے طور پر درخواستیں کرنے کی اجازت دیتی ہے۔
  • CVE-2022-41082 — ریموٹ کوڈ پر عمل درآمد، تصدیق شدہ حملہ آوروں کو صوابدیدی PowerShell کو انجام دینے کی اجازت دیتا ہے۔

"فی الحال، تصوراتی اسکرپٹ یا استحصالی ٹولنگ کا کوئی معلوم ثبوت جنگلی میں دستیاب نہیں ہے،" جان ہیمنڈ نے لکھا، ہنٹریس کے ساتھ ایک خطرہ شکاری۔ تاہم، اس کا مطلب ہے کہ گھڑی ٹک ٹک کر رہی ہے۔ خطرے پر نئے سرے سے توجہ مرکوز کرنے کے ساتھ نئے کارناموں یا تصور کے ثبوت کے اسکرپٹس دستیاب ہونے سے پہلے یہ صرف وقت کی بات ہے۔

استحصال کا پتہ لگانے کے اقدامات

پہلی کمزوری — سرور کی طرف سے درخواست کی جعل سازی کی خامی — دوسرے کو حاصل کرنے کے لیے استعمال کی جا سکتی ہے — ریموٹ کوڈ پر عمل درآمد کی کمزوری — لیکن اٹیک ویکٹر کے لیے مخالف کو پہلے سے ہی سرور پر تصدیق کرنے کی ضرورت ہوتی ہے۔

GTSC کے مطابق، تنظیمیں درج ذیل پاور شیل کمانڈ کو چلا کر چیک کر سکتی ہیں کہ آیا ان کے ایکسچینج سرورز کا پہلے ہی استحصال کیا گیا ہے:

Get-ChildItem -Recurse -Path -Filter "*.log" | سلیکٹ-سٹرنگ - پیٹرن 'پاور شیل۔*Autodiscover.json.*@.*200

GTSC نے استحصال کی علامات کو تلاش کرنے کے لیے ایک ٹول بھی تیار کیا ہے۔ اسے GitHub پر جاری کیا۔. اس فہرست کو اپ ڈیٹ کیا جائے گا کیونکہ دوسری کمپنیاں اپنے ٹولز جاری کرتی ہیں۔

مائیکروسافٹ کے مخصوص ٹولز

  • مائیکروسافٹ کے مطابقمائیکروسافٹ سینٹینیل میں ایسے سوالات ہیں جو اس مخصوص خطرے کی تلاش کے لیے استعمال کیے جا سکتے ہیں۔ ایسا ہی ایک سوال ہے۔ ایکسچینج SSRF Autodiscover ProxyShell پتہ لگانا، جو ProxyShell کے جواب میں بنایا گیا تھا۔ نیا ایکسچینج سرور مشکوک فائل ڈاؤن لوڈز استفسار خاص طور پر IIS لاگز میں مشکوک ڈاؤن لوڈز کو تلاش کرتا ہے۔
  • ممکنہ ویب شیل کی تنصیب، ممکنہ IIS ویب شیل، مشکوک ایکسچینج پروسیس ایگزیکیوشن، ایکسچینج سرور کی کمزوریوں کا ممکنہ استحصال، ویب شیل کی نشاندہی کرنے والے مشتبہ عمل، اور ممکنہ IIS سمجھوتہ کے بارے میں مائیکروسافٹ ڈیفنڈر کی طرف سے انتباہات بھی ایکسچینج سرور کی نشاندہی کر سکتے ہیں۔ دو کمزوریوں کے ذریعے سمجھوتہ کیا گیا۔
  • مائیکروسافٹ ڈیفنڈر پوسٹ استحصال کی کوششوں کا پتہ لگائے گا۔ بیک ڈور:ASP/Webshell.Y اور بیک ڈور:Win32/RewriteHttp.A.

کئی سیکورٹی وینڈرز نے بھی استحصال کا پتہ لگانے کے لیے اپنی مصنوعات میں اپ ڈیٹس کا اعلان کیا ہے۔

ہنٹریس نے کہا کہ وہ تقریباً 4,500 ایکسچینج سرورز کی نگرانی کرتا ہے اور فی الحال ان سرورز میں استحصال کی ممکنہ علامات کے لیے ان سرورز کی چھان بین کر رہا ہے۔ "اس وقت، ہنٹریس نے ہمارے شراکت داروں کے آلات پر استحصال کی کوئی علامت یا سمجھوتہ کرنے کے اشارے نہیں دیکھے،" ہیمنڈ نے لکھا۔

تخفیف کے اقدامات

مائیکروسافٹ نے وعدہ کیا ہے کہ وہ ایک فکس کو تیزی سے ٹریک کر رہا ہے۔ تب تک، تنظیموں کو اپنے نیٹ ورکس کی حفاظت کے لیے ایکسچینج سرور پر درج ذیل تخفیف کا اطلاق کرنا چاہیے۔

مائیکروسافٹ کے مطابق، آن پریمیسس مائیکروسافٹ ایکسچینج صارفین کو IIS سرور پر یو آر ایل ری رائٹ رول ماڈیول کے ذریعے نئے قوانین کا اطلاق کرنا چاہیے۔

  • IIS مینیجر میں -> ڈیفالٹ ویب سائٹ -> آٹو ڈسکوور -> یو آر ایل ری رائٹ -> ایکشنز، بلاکنگ کی درخواست کو منتخب کریں اور یو آر ایل پاتھ میں درج ذیل سٹرنگ شامل کریں:
.*autodiscover.json.*@.*Powershell.*

شرط کا ان پٹ {REQUEST_URI} پر سیٹ ہونا چاہیے

  • بندرگاہوں 5985 (HTTP) اور 5986 (HTTPS) کو بلاک کریں کیونکہ وہ ریموٹ پاور شیل کے لیے استعمال ہوتے ہیں۔

اگر آپ ایکسچینج آن لائن استعمال کر رہے ہیں:

مائیکروسافٹ نے کہا کہ ایکسچینج آن لائن صارفین متاثر نہیں ہوتے ہیں اور انہیں کوئی کارروائی کرنے کی ضرورت نہیں ہے۔ تاہم، ایکسچینج آن لائن استعمال کرنے والی تنظیمیں ممکنہ طور پر ہائبرڈ ایکسچینج ماحول رکھتی ہیں، آن پریم اور کلاؤڈ سسٹم کے مرکب کے ساتھ۔ انہیں آن پریم سرورز کی حفاظت کے لیے مندرجہ بالا رہنمائی پر عمل کرنا چاہیے۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا