Microsoft đã xác nhận hai lỗ hổng zero-day mới trong Microsoft Exchange Server (CVE-2022-41040 và CVE-2022-41082) đang bị khai thác trong “các cuộc tấn công có mục tiêu, hạn chế”. Trong trường hợp không có bản vá chính thức, các tổ chức nên kiểm tra môi trường của họ để tìm các dấu hiệu khai thác và sau đó áp dụng các bước giảm thiểu khẩn cấp.
- CVE-2022-41040 - Giả mạo yêu cầu phía máy chủ, cho phép những kẻ tấn công đã xác thực thực hiện các yêu cầu giả mạo là máy bị ảnh hưởng
- CVE-2022-41082 - Thực thi mã từ xa, cho phép những kẻ tấn công đã xác thực thực thi PowerShell tùy ý.
“Hiện tại, không có tập lệnh hoặc công cụ khai thác nào được biết đến trong tự nhiên,” John Hammond đã viết, một thợ săn mối đe dọa với Huntress. Tuy nhiên, điều đó chỉ có nghĩa là đồng hồ đang tích tắc. Với sự tập trung mới vào lỗ hổng bảo mật, chỉ còn là vấn đề thời gian trước khi các khai thác mới hoặc các tập lệnh chứng minh khái niệm trở nên sẵn có.
Các bước phát hiện khai thác
Lỗ hổng đầu tiên - lỗ hổng giả mạo yêu cầu phía máy chủ - có thể được sử dụng để đạt được lỗ hổng thứ hai - lỗ hổng thực thi mã từ xa - nhưng vectơ tấn công yêu cầu đối thủ đã được xác thực trên máy chủ.
Theo GTSC, các tổ chức có thể kiểm tra xem Máy chủ Exchange của họ đã được khai thác chưa bằng cách chạy lệnh PowerShell sau:
Get-ChildItem -Recurse -Path -Filter "* .log" | Powerhell của Select-String -Pattern. * Autodiscover.json. * @. * 200
GTSC cũng đã phát triển một công cụ để tìm kiếm các dấu hiệu lợi dụng và phát hành nó trên GitHub. Danh sách này sẽ được cập nhật khi các công ty khác phát hành công cụ của họ.
Công cụ dành riêng cho Microsoft
- Theo Microsoft, có những truy vấn trong Microsoft Sentinel có thể được sử dụng để tìm kiếm mối đe dọa cụ thể này. Một trong những truy vấn như vậy là Trao đổi SSRF AutoDiscover ProxyShell phát hiện, được tạo để đáp ứng với ProxyShell. Cái mới Tải xuống tệp đáng ngờ cho máy chủ Exchange truy vấn đặc biệt tìm kiếm các tải xuống đáng ngờ trong nhật ký IIS.
- Cảnh báo từ Microsoft Defender cho Endpoint về khả năng cài đặt web shell, có thể có web shell IIS, thực thi quy trình Exchange đáng ngờ, có thể khai thác lỗ hổng Exchange Server, các quy trình đáng ngờ chỉ ra web shell và khả năng xâm nhập IIS cũng có thể là dấu hiệu Exchange Server đã bị bị xâm nhập thông qua hai lỗ hổng.
- Microsoft Defender sẽ phát hiện các nỗ lực sau khai thác như Cửa hậu: ASP / Webshell.Y và Cửa hậu: Win32 / RewriteHttp.A.
Một số nhà cung cấp bảo mật cũng đã công bố các bản cập nhật cho sản phẩm của họ để phát hiện việc khai thác.
Huntress cho biết họ giám sát khoảng 4,500 máy chủ Exchange và hiện đang điều tra các máy chủ đó để tìm các dấu hiệu lợi dụng tiềm ẩn trong các máy chủ này. Hammond viết: “Hiện tại, Huntress chưa thấy bất kỳ dấu hiệu lợi dụng hoặc dấu hiệu nào cho thấy sự xâm phạm trên thiết bị của đối tác của chúng tôi.
Các bước giảm thiểu cần thực hiện
Microsoft hứa rằng họ sẽ nhanh chóng theo dõi một bản sửa lỗi. Cho đến lúc đó, các tổ chức nên áp dụng các biện pháp giảm thiểu sau cho Exchange Server để bảo vệ mạng của họ.
Theo Microsoft, khách hàng Microsoft Exchange tại chỗ nên áp dụng các quy tắc mới thông qua mô-đun Quy tắc ghi lại URL trên máy chủ IIS.
- Trong Trình quản lý IIS -> Trang web mặc định -> Tự động phát hiện -> Ghi lại URL -> Hành động, chọn Yêu cầu Chặn và thêm chuỗi sau vào Đường dẫn URL:
. * autodiscover.json. * @. * Powershell. *
Đầu vào điều kiện phải được đặt thành {REQUEST_URI}
- Chặn các cổng 5985 (HTTP) và 5986 (HTTPS) khi chúng được sử dụng cho Remote PowerShell.
Nếu bạn đang sử dụng Exchange Online:
Microsoft cho biết khách hàng của Exchange Online không bị ảnh hưởng và không cần thực hiện bất kỳ hành động nào. Tuy nhiên, các tổ chức sử dụng Exchange Online có thể có môi trường Exchange hỗn hợp, với sự kết hợp của hệ thống tại chỗ và đám mây. Họ nên làm theo hướng dẫn trên để bảo vệ các máy chủ tại chỗ.
