exchange-server

Microsoft bekræfter, at nye Exchange-nul-dage bruges i angreb in the wild

Microsoft har bekræftet, at to nyligt rapporterede nul-dages sårbarheder i Microsoft Exchange Server 2013, 2016 og 2019 udnyttes overalt.

“Den første sårbarhed, identificeret som CVE-2022-41040, er en sårbarhed i Server-Side Request Forgery (SSRF), mens den anden, identificeret som CVE-2022-41082, tillader fjernudførelse af kode (RCE), når PowerShell er tilgængelig for angriberen,”

Siger Microsoft

“På nuværende tidspunkt er Microsoft opmærksom på begrænsede målrettede angreb ved hjælp af de to sårbarheder til at komme ind i brugernes systemer.”

Virksomheden tilføjede, at CVE-2022-41040-fejlen kun kan udnyttes af godkendte angribere. Vellykket udnyttelse giver dem derefter mulighed for at udløse CVE-2022-41082 RCE-sårbarheden.

Microsoft siger, at Exchange Online-kunder ikke behøver at foretage sig noget i øjeblikket, fordi virksomheden har registreringer og afhjælpning på plads for at beskytte kunderne.

“Microsoft overvåger også disse allerede implementerede registreringer for ondsindet aktivitet og vil tage de nødvendige reaktionshandlinger for at beskytte kunderne. [..] Vi arbejder på en accelereret tidslinje for at frigive en rettelse,” tilføjede Microsoft.

Ifølge det vietnamesiske cybersikkerhedsfirma GTSC, der først rapporterede de igangværende angreb, er nul-dagene kædet til at implementere kinesiske Chopper-webskaller til vedholdenhed og datatyveri og til at bevæge sig sideværts gennem ofrenes netværk.

GTSC har også mistanke om, at en kinesisk trusselsgruppe kan være ansvarlig for de igangværende angreb baseret på webskallernes kodeside, en Microsoft-tegnkodning for forenklet kinesisk.

Trusselsgruppen administrerer også webskallerne med Antsword Chinese open source-webstedsadministrationsværktøj, som afsløret af brugeragenten, der bruges til at installere dem på kompromitterede servere.

Afhjælpning tilgængelig

Microsoft har også bekræftet afbødende foranstaltninger, der blev delt i går af GTSC, hvis sikkerhedsforskere også rapporterede de to fejl til Microsoft privat gennem Zero Day Initiative for tre uger siden.

“I det lokale miljø skal Microsoft Exchange-kunder gennemgå og anvende følgende INSTRUKTIONER til omskrivning af URL-adresser og blokere udsatte Remote PowerShell-porte,” tilføjede Microsoft.

“Den nuværende afhjælpning er at tilføje en blokeringsregel i “IIS Manager -> Standardwebsted -> Autodiscover -> URL Rewrite -> Actions” for at blokere de kendte angrebsmønstre.”

For at anvende afhjælpningen på sårbare servere skal du gennemgå følgende trin:

  1. Åbn IIS Manager.
  2. Udvid standardwebstedet.
  3. Vælg Autodiscover.
  4. I funktionsvisningen skal du klikke på Omskriv URL..
  5. I ruden Handlinger i højre side skal du klikke på Tilføj regler.
  6. Vælg Anmod om blokering, og klik på OK.
  7. Tilføj strengen “.*autodiscover.json.*@.*Powershell.*” (ekskl. anførselstegn), og klik på OK.
  8. Udvid reglen, og vælg reglen med mønsteret “.*autodiscover.json.*@.*Powershell.*”, og klik på Rediger under Betingelser.
  9. Skift betingelsesinputtet fra {URL} til {REQUEST_URI}

Da trusselsaktørerne også kan få adgang til PowerShell Remoting på udsatte og sårbare Exchange-servere til fjernudførelse af kode via CVE-2022-41082-udnyttelse, råder Microsoft også administratorer til at blokere følgende Remote PowerShell-porte for at forhindre angrebene:

  • Http: 5985
  • Https: 5986

GTSC sagde i går, at administratorer, der ønsker at kontrollere, om deres Exchange-servere allerede er blevet kompromitteret, kan køre følgende PowerShell-kommando for at scanne IIS-logfiler for indikatorer for kompromittering:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "* .log" | Vælg streng -Mønster 'powershell.* autodiscover .json.*@.*200'
Scroll to Top