Oficiálna stránka SK

Doména gov.sk je oficálna

Toto je oficiálna webová stránka orgánu verejnej moci Slovenskej republiky. Oficiálne stránky využívajú najmä doménu gov.sk. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze.

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

Varovanie: Aktívne zneužívané zero-day zraniteľnosti v Microsoft Exchange

Aktualizácia 10.10.2022 09:50: aktualizácia odporúčaní (ďalšia zmena v URL rewrite pravidle)

Aktualizácia 5.10.2022 14:00: aktualizácia odporúčaní (malá zmena v URL rewrite pravidle)

Aktualizácia 30.9.2022 13:00: útočník musí byť autentifikovaný

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred aktívne zneužívanými zero-day zraniteľnosťami v produkte Microsoft Exchange Server.

Zneužitím bližšie nešpecifikovaných zraniteľností by vzdialený neautentifikovaný autentifikovaný útočník mohol vykonať škodlivý kód, prebrať kontrolu nad zraniteľným systémom a získať neoprávnený prístup k citlivým údajom. Zraniteľnosti sú v súčasnosti aktívne zneužívané útočníkmi.

Microsoft Exchange Server je jedným z najpopulárnejších poštových serverov. Dopad zraniteľností a ich zneužitia má preto globálny charakter.

SK-CERT svojej konštituencii distribuuje varovanie V20220930-01K zamerané na predmetné zraniteľnosti.

Zraniteľnosti dostali identifikátor zraniteľnosti CVE-2022-41040 a CVE-2022-41082. V rámci Zero Day Initiative sú evidované pod označením ZDI-CAN-18333 (CVSS skóre 8.8) a ZDI-CAN-18802 (CVSS skóre 6.3).

Odporúčania

Na uvedené zraniteľnosti v súčasnosti nie sú dostupné aktualizácie. Národné centrum kybernetickej bezpečnosti SK-CERT preto odporúča:

  • Blokovať pokusy o zneužitie zraniteľnosti vytvorením nového IIS serverového pravidla prostredníctvom modulu URL Rewrite Rule. Pravidlo aplikujte na všetkých Exchange serveroch vo Vašej infraštruktúre:
    • Otvorte nastavenia IIS (napr. cez Server Manager)
    • Pomocou ľavého menu vojdite do časti Autodiscover
    • vyberte položku/ikonu URL Rewrite. Ak nemáte v IIS povolený modul URL rewrite,
    • V pravom menu vyberte Add rule(s)
    • zvoľte typ pravidla “Request Blocking”
    • Upravte podmienky. Presné poradie a mená polí závisia od verzie IIS a URL Rewrite:
      • Blokovať podľa URL Path
      • V poli “Check if input string…” alebo poli “Block requests that…” vyberte voľbu “Matches the pattern”
      • V poli Condition Input, ak je prítomné zadajte “{REQUEST_URI}” (bez úvodzoviek)
      • V poli pattern zadajte reťazec “.*autodiscover\.json.*\@.*Powershell.*“ (bez úvodzoviek)
      • V poli pattern zadajte reťazec “.*autodiscover\.json.*Powershell.*“ (bez úvodzoviek)
      • V poli pattern zadajte reťazec “(?=.*autodiscover)(?=.*powershell)“ (bez úvodzoviek)
      • V poli Using… vyberte Regular expressions
    • aplikujte pravidlá reštartovaním web servera (Manage web site -> Restart)
  • Preveriť či došlo k zneužitiu predmetných zraniteľností pomocou PowerShell-ového príkazu 
    • otvorte PowerShell príkazový riadok s administrátorskými oprávneniami
    • na vyhľadávanie indikátorov kompromitácie IoC v rámci IIS logov použite nižšie uvedený príkaz. V príkaze musíte nahradiť časť “CESTA_K_IIS_LOGOM” za skutočnú cestu na Vašom systéme, napr. C:\InetPub\Logs\
Get-ChildItem -Recurse -Path CESTA_K_IIS_LOGOM -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*200'
Get-ChildItem -Recurse -Path CESTA_K_IIS_LOGOM -Filter "*.log" | Select-String -Pattern '(powershell|autodiscover\.json).*200'
  • Prípadné nálezy tohto reťazca treba manuálne overiť.
  • Monitorovať zariadenia so zameraním na neštandardné spojenia alebo pokusy o spojenia. Ak to konfigurácia umožňuje, preverte aj historickú komunikáciu a to ako voči Internetu, tak aj voči privátnej sieti. 
  • Preveriť bezpečnosť MS Exchange inštancií napríklad s použitím antivírusových produktov
  • Zmeniť prihlasovacie heslá do účtov (ako administrátorských, tak aj bežných poštových účtov) na dostatočne silné a jedinečné
  • Ak sa rovnaké heslá používali aj inde, zmeniť aj tieto heslá, pričom používajte unikátne heslá, ktoré sú pre každý účet iné

Rovnako odporúčame priebežne sledovať stránku výrobcu a po vydaní bezpečnostných záplat ihneď vykonať aktualizáciu zasiahnutých systémov.

Dobrou praxou v oblasti sieťovej architektúry je prevádzkovať externé servery v samostatných VLAN, oddelene od ostatných serverov a vnútornej infraštruktúry. V prípade, že máte takúto topológiu nasadenú, odporúčame tiež review firewallových pravidiel.

V prípade zistenia kybernetického bezpečnostného incidentu, spôsobeného zneužitím týchto zraniteľností, ho nahláste na e-mailovú adresu [email protected] slúžiacu pre nahlasovanie incidentov alebo telefonicky na +421 2 68 69 2915.

Zdroje:


« Späť na zoznam