微软已经确认 Microsoft Exchange Server 中的两个新零日漏洞 (CVE-2022-41040 和 CVE-2022-41082)正在“有限的、有针对性的攻击”中被利用。 在没有官方补丁的情况下,组织应检查其环境是否存在漏洞利用迹象,然后应用紧急缓解措施。
- CVE-2022-41040 - 服务器端请求伪造,允许经过身份验证的攻击者冒充受影响的机器发出请求
- CVE-2022-41082 - 远程代码执行,允许经过身份验证的攻击者执行任意 PowerShell。
“目前,在野外没有已知的概念验证脚本或利用工具,” 写约翰哈蒙德,与 Huntress 的威胁猎人。 然而,这只意味着时钟在滴答作响。 随着对漏洞的重新关注,新的漏洞利用或概念验证脚本可用只是时间问题。
检测利用的步骤
第一个漏洞——服务器端请求伪造漏洞——可用于实现第二个漏洞——远程代码执行漏洞——但攻击向量要求对手已经在服务器上进行身份验证。
根据 GTSC,组织可以通过运行以下 PowerShell 命令检查其 Exchange 服务器是否已被利用:
Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200
GTSC 还开发了一种工具来搜索剥削迹象和 在 GitHub 上发布. 此列表将随着其他公司发布他们的工具而更新。
Microsoft 特定工具
- 据微软称,Microsoft Sentinel 中有一些查询可用于寻找此特定威胁。 一个这样的查询是 Exchange SSRF 自动发现 ProxyShell 检测,它是为响应 ProxyShell 而创建的。 新的 Exchange Server 可疑文件下载 查询专门在 IIS 日志中查找可疑下载。
- 来自 Microsoft Defender for Endpoint 的有关可能的 Web Shell 安装、可能的 IIS Web Shell、可疑的 Exchange 进程执行、可能利用 Exchange Server 漏洞、指示 Web Shell 的可疑进程以及可能的 IIS 妥协的警报也可能是 Exchange Server 已被攻击的迹象通过这两个漏洞受到攻击。
- Microsoft Defender 会将利用后的尝试检测为 后门:ASP/Webshell.Y 和 后门:Win32/RewriteHttp.A.
一些安全供应商也宣布对其产品进行更新以检测漏洞利用。
Huntress 表示,它监控了大约 4,500 台 Exchange 服务器,目前正在调查这些服务器是否存在潜在的漏洞利用迹象。 “目前,Huntress 没有在我们合作伙伴的设备上看到任何剥削或妥协迹象,”哈蒙德写道。
采取的缓解措施
微软承诺将快速修复。 在此之前,组织应将以下缓解措施应用于 Exchange Server 以保护其网络。
根据 Microsoft,本地 Microsoft Exchange 客户应通过 IIS 服务器上的 URL 重写规则模块应用新规则。
- 在 IIS 管理器 -> 默认网站 -> 自动发现 -> URL 重写 -> 操作中,选择请求阻止并将以下字符串添加到 URL 路径:
.*autodiscover.json.*@.*Powershell.*
条件输入应设置为 {REQUEST_URI}
- 阻止端口 5985 (HTTP) 和 5986 (HTTPS),因为它们用于远程 PowerShell。
如果您使用的是 Exchange Online:
微软表示,Exchange Online 客户不受影响,不需要采取任何行动。 但是,使用 Exchange Online 的组织很可能拥有混合 Exchange 环境,其中混合了本地和云系统。 他们应遵循上述指南来保护本地服务器。
