Zero-day zraniteľnosti servera Microsoft Exchange
V produkte Microsoft Exchange a jeho súčasti Outlook Web App (OWA) boli objavené dve zraniteľnosti, pre ktoré aktuálne nie je dostupná bezpečnostná oprava, no existuje spôsob dočasnej opravy. Potenciálny vzdialený a autentifikovaný útočník by mohol zneužitím zraniteľností prevziať kontrolu nad serverom a nasadiť škodlivý webshell.
Opis činnosti:
Vietnamskí výskumníci zo spoločnosti GTSC pred troma týždňami informovali spoločnosť Microsoft cez iniciatívu Trend Micro Zero Day o zraniteľnostiach, ktoré sa podobajú staršej zraniteľnosti ProxyShell. Výskumníci nateraz nezverejnili podrobnejšie technické informácie o zraniteľnostiach, postup zneužitia zraniteľnosti je však verejne dostupný.
CVE-2022-41040
Zraniteľnosť typu SSRF. Potenciálny vzdialený a overený útočník by mohol úspešným zneužitím zraniteľnosti cez súčasť OWA ovplyvniť manipuláciou s neznámym vstupom back-end serveru a eskalovať svoje oprávnenia.
CVE-2022-41082
Zraniteľnosť umožňujúca vzdialené vykonanie kódu. Potenciálny vzdialený a overený útočník po úspešnom zneužití zraniteľnosti CVE-2022-41040 s prístupom k nástroju PowerShell by mohol na serveri Microsoft Exchange vykonať ľubovoľný škodlivý kód, čo môže viesť k nasadeniu škodlivého webshellu.
Zraniteľné systémy:
Microsoft Exchange 2013, 2016, 2019
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Kompromitácia serveru Microsoft Exchange
- Únik citlivých dát organizácie
- Vzdialené vykonávanie kódu
- Kompromitácia siete organizácie
Odporúčania:
Doplnenie 8.11.2022
Spoločnosť Microsoft v rámci pravidelných bezpečnostných aktualizácií Patch Tuesday pre November 2022 opravila kritické zraniteľnosti MS Exchange.
Viac na:
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-proxynotshell-exchange-zero-days-exploited-in-attacks/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
Doplnenie 6.10.2022
Riešenie z predchádzajúcehio doplnenia je možné obísť, nové odporúčanie obsahuje použitie funkcie UrlDecode v parametri Condition Input. Aktualizovaný postup pre zmiernenie dopadu nájdete nižšie.
Pre zabránenie zneužitia zraniteľnosti CVE-2022-41082 pre vzdialené vykonávanie kódu je potrebné blokovať porty používané Remote Powershell, teda HTTP: 5985 a HTTPS: 5986.
Viac na: https://www.cert.europa.eu/static/SecurityAdvisories/2022/CERT-EU-SA2022-068.pdf
Doplnenie 4.10.2022
Medzičasom bezpečnostný výskumník Kevin Beaumont varoval o neustálom ohrození lokálne nasadených a hybridných riešení (kombinácia on-premise a cloud) aj po nasadení dočasnej opravy. Pre možné zabezpečenie širšieho spektra možností požiadaviek navrhol upraviť reťazce nasledovne:
.*autodiscover\.json.*Powershell.*
Bezpečnostnú záplatu podľa informácií spoločnosť Microsoft pripravuje. Do tej doby jediné naozaj funkčné riešenie je zakázať prístup k OWA z verejného internetu.
Spoločnosti GTSC a Microsoft vydali odporúčania pre dočasnú opravu zraniteľností a odporúčanie na preverenie logov IIS servera MS Exchange či prítomnosti škodlivého webshellu
Zároveň spoločnosť GTSC poskytla zoznam doposiaľ evidovaných identifikátorov kompromitácie.
VJ CSIRT odporúča nasadiť opatrenia pre dočasnú opravu zraniteľnosti, skontrolovať záznamy aktivity (log) IIS MS Exchange servera a v rámci možností zablokovať doposiaľ známe identifikátory kompromitácie.
Zmiernenie dopadu (mitigácia):
- Otvorte IIS Manager.
- Rozkliknite Default Web Site.
- Vyberte Autodiscover.
- V ponuke možností vyberte URL Rewrite.
- V panely Akcie na pravej strane vyberte možnosť Add Rules.
- Vyberte Request Blocking a kliknite OK.
- Vyberte URL Path a do Pattern pridajte reťazec “ .*autodiscover\.json.*Powershell.*“ (bez úvodzoviek), v poli Using vyberte Regular Expressions a v poli How To Block vyberte Abort Request. Kliknite na OK.
- Rozkliknite pravidlo, vyberte vzor s “.*autodiscover\.json.*Powershell.*” následne na pravej strane kliknite v časti Conditions na možnosť Edit.
- Zmeňte parameter v časti Condition Input z {URL} na {UrlDecode:{REQUEST_URI}}.
IIS LOG Detekcia:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200
Odkazy:
https://www.helpnetsecurity.com/2022/09/30/cve-2022-41040-cve-2022-41082/
https://thehackernews.com/2022/09/microsoft-confirms-2-new-exchange-zero.html
https://www.alitajran.com/0-day-vulnerability-microsoft-exchange/