Zero-day zraniteľnosti servera Microsoft Exchange

V produkte Microsoft Exchange a jeho súčasti Outlook Web App (OWA) boli objavené dve zraniteľnosti, pre ktoré aktuálne nie je dostupná bezpečnostná oprava, no existuje spôsob dočasnej opravy. Potenciálny vzdialený a autentifikovaný útočník by mohol zneužitím zraniteľností prevziať kontrolu nad serverom a nasadiť škodlivý webshell.

Opis činnosti:

Vietnamskí výskumníci zo spoločnosti GTSC pred troma týždňami informovali spoločnosť Microsoft cez iniciatívu Trend Micro Zero Day o zraniteľnostiach, ktoré sa podobajú staršej zraniteľnosti ProxyShell. Výskumníci nateraz nezverejnili podrobnejšie technické informácie o zraniteľnostiach, postup zneužitia zraniteľnosti je však verejne dostupný.

CVE-2022-41040

Zraniteľnosť typu SSRF. Potenciálny vzdialený a overený útočník by mohol úspešným zneužitím zraniteľnosti cez súčasť OWA ovplyvniť manipuláciou s neznámym vstupom back-end serveru a eskalovať svoje oprávnenia.

CVE-2022-41082

Zraniteľnosť umožňujúca vzdialené vykonanie kódu. Potenciálny vzdialený a overený útočník po úspešnom zneužití zraniteľnosti CVE-2022-41040 s prístupom k nástroju PowerShell by mohol na serveri Microsoft Exchange vykonať ľubovoľný škodlivý kód, čo môže viesť k nasadeniu škodlivého webshellu.

Zraniteľné systémy:

Microsoft Exchange 2013, 2016, 2019

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Kompromitácia serveru Microsoft Exchange
  • Únik citlivých dát organizácie
  • Vzdialené vykonávanie kódu
  • Kompromitácia siete organizácie

Odporúčania:

Doplnenie 8.11.2022

Spoločnosť Microsoft v rámci pravidelných bezpečnostných aktualizácií Patch Tuesday pre November 2022 opravila kritické zraniteľnosti MS Exchange.
Viac na:
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-proxynotshell-exchange-zero-days-exploited-in-attacks/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040

Doplnenie 6.10.2022

Riešenie z predchádzajúcehio doplnenia je možné obísť, nové odporúčanie obsahuje použitie funkcie UrlDecode v parametri Condition Input. Aktualizovaný postup pre zmiernenie dopadu nájdete nižšie.

Pre zabránenie zneužitia zraniteľnosti CVE-2022-41082 pre vzdialené vykonávanie kódu je potrebné blokovať porty používané Remote Powershell, teda  HTTP: 5985 a HTTPS: 5986.

Viac na: https://www.cert.europa.eu/static/SecurityAdvisories/2022/CERT-EU-SA2022-068.pdf

Doplnenie 4.10.2022

Medzičasom bezpečnostný výskumník Kevin Beaumont varoval o neustálom ohrození lokálne nasadených a hybridných riešení (kombinácia on-premise a cloud) aj po nasadení dočasnej opravy. Pre možné zabezpečenie širšieho spektra možností požiadaviek navrhol upraviť reťazce nasledovne:

.*autodiscover\.json.*Powershell.*

Bezpečnostnú záplatu podľa informácií spoločnosť Microsoft pripravuje. Do tej doby jediné naozaj funkčné riešenie je zakázať prístup k OWA z verejného internetu.

Spoločnosti GTSC a Microsoft vydali odporúčania pre dočasnú opravu zraniteľností a odporúčanie na preverenie logov IIS servera MS Exchange či prítomnosti škodlivého webshellu

Zároveň spoločnosť GTSC poskytla zoznam doposiaľ evidovaných identifikátorov kompromitácie.

Viac na: https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

VJ CSIRT odporúča nasadiť opatrenia pre dočasnú opravu zraniteľnosti, skontrolovať záznamy aktivity (log) IIS MS Exchange servera a v rámci možností zablokovať doposiaľ známe identifikátory kompromitácie.

Zmiernenie dopadu (mitigácia):

  1. Otvorte IIS Manager.
  2. Rozkliknite Default Web Site.
  3. Vyberte Autodiscover.
  4. V ponuke možností vyberte URL Rewrite.
  5. V panely Akcie na pravej strane vyberte možnosť Add Rules. 
  6. Vyberte Request Blocking a kliknite OK.
  7. Vyberte URL Path a do Pattern pridajte reťazec “ .*autodiscover\.json.*Powershell.*“ (bez úvodzoviek), v poli Using vyberte Regular Expressions a v poli How To Block vyberte Abort Request. Kliknite na OK.
  8. Rozkliknite pravidlo, vyberte vzor s  “.*autodiscover\.json.*Powershell.*” následne na pravej strane kliknite v časti Conditions na možnosť Edit.
  9. Zmeňte parameter v časti Condition Input z {URL} na {UrlDecode:{REQUEST_URI}}.

IIS LOG Detekcia:  

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200

Odkazy:

https://vuldb.com/?id.210010

https://vuldb.com/?id.210011

https://www.bleepingcomputer.com/news/security/new-microsoft-exchange-zero-days-actively-exploited-in-attacks/

https://www.helpnetsecurity.com/2022/09/30/cve-2022-41040-cve-2022-41082/

https://thehackernews.com/2022/09/microsoft-confirms-2-new-exchange-zero.html

https://www.alitajran.com/0-day-vulnerability-microsoft-exchange/