Varovanie: Aktívne zneužívané zero-day zraniteľnosti v Microsoft Exchange

Aktualizácia 10.10.2022 09:50: aktualizácia odporúčaní (ďalšia zmena v URL rewrite pravidle)

Aktualizácia 5.10.2022 14:00: aktualizácia odporúčaní (malá zmena v URL rewrite pravidle)

Aktualizácia 30.9.2022 13:00: útočník musí byť autentifikovaný

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred aktívne zneužívanými zero-day zraniteľnosťami v produkte Microsoft Exchange Server.

Zneužitím bližšie nešpecifikovaných zraniteľností by vzdialený neautentifikovaný autentifikovaný útočník mohol vykonať škodlivý kód, prebrať kontrolu nad zraniteľným systémom a získať neoprávnený prístup k citlivým údajom. Zraniteľnosti sú v súčasnosti aktívne zneužívané útočníkmi.

Microsoft Exchange Server je jedným z najpopulárnejších poštových serverov. Dopad zraniteľností a ich zneužitia má preto globálny charakter.

SK-CERT svojej konštituencii distribuuje varovanie V20220930-01K zamerané na predmetné zraniteľnosti.

Zraniteľnosti dostali identifikátor zraniteľnosti CVE-2022-41040 a CVE-2022-41082. V rámci Zero Day Initiative sú evidované pod označením ZDI-CAN-18333 (CVSS skóre 8.8) a ZDI-CAN-18802 (CVSS skóre 6.3).

Odporúčania

Na uvedené zraniteľnosti v súčasnosti nie sú dostupné aktualizácie. Národné centrum kybernetickej bezpečnosti SK-CERT preto odporúča:

• Blokovať pokusy o zneužitie zraniteľnosti vytvorením nového IIS serverového pravidla prostredníctvom modulu URL Rewrite Rule. Pravidlo aplikujte na všetkých Exchange serveroch vo Vašej infraštruktúre:
  • Otvorte nastavenia IIS (napr. cez Server Manager)
  • Pomocou ľavého menu vojdite do časti Autodiscover
  • vyberte položku/ikonu URL Rewrite. Ak nemáte v IIS povolený modul URL rewrite,
    • nainštalujete ho z linky https://www.iis.net/downloads/microsoft/url-rewrite
    • postupujte napríklad podľa návodu tu: https://tecadmin.net/enable-url-rewrite-iis/
    • po inštalácii nezabudnite reštartovať nastavenia IIS, aby sa nová položka objavila v ponuke
  • V pravom menu vyberte Add rule(s)
  • zvoľte typ pravidla “Request Blocking”
  • Upravte podmienky. Presné poradie a mená polí závisia od verzie IIS a URL Rewrite:
    • Blokovať podľa URL Path
    • V poli “Check if input string…” alebo poli “Block requests that…” vyberte voľbu “Matches the pattern”
    • V poli Condition Input, ak je prítomné zadajte “{REQUEST_URI}” (bez úvodzoviek)
    • V poli pattern zadajte reťazec “.*autodiscover\.json.*\@.*Powershell.*“ (bez úvodzoviek)
    • V poli pattern zadajte reťazec “.*autodiscover\.json.*Powershell.*“ (bez úvodzoviek)
    • V poli pattern zadajte reťazec “(?=.*autodiscover)(?=.*powershell)“ (bez úvodzoviek)
    • V poli Using… vyberte Regular expressions
  • aplikujte pravidlá reštartovaním web servera (Manage web site -> Restart)
• Preveriť či došlo k zneužitiu predmetných zraniteľností pomocou PowerShell-ového príkazu 
  • otvorte PowerShell príkazový riadok s administrátorskými oprávneniami
  • na vyhľadávanie indikátorov kompromitácie IoC v rámci IIS logov použite nižšie uvedený príkaz. V príkaze musíte nahradiť časť “CESTA_K_IIS_LOGOM” za skutočnú cestu na Vašom systéme, napr. C:\InetPub\Logs\

Get-ChildItem -Recurse -Path CESTA_K_IIS_LOGOM -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*200'

Get-ChildItem -Recurse -Path CESTA_K_IIS_LOGOM -Filter "*.log" | Select-String -Pattern '(powershell|autodiscover\.json).*200'

• Prípadné nálezy tohto reťazca treba manuálne overiť.
• Monitorovať zariadenia so zameraním na neštandardné spojenia alebo pokusy o spojenia. Ak to konfigurácia umožňuje, preverte aj historickú komunikáciu a to ako voči Internetu, tak aj voči privátnej sieti. 
• Preveriť bezpečnosť MS Exchange inštancií napríklad s použitím antivírusových produktov
• Zmeniť prihlasovacie heslá do účtov (ako administrátorských, tak aj bežných poštových účtov) na dostatočne silné a jedinečné
• Ak sa rovnaké heslá používali aj inde, zmeniť aj tieto heslá, pričom používajte unikátne heslá, ktoré sú pre každý účet iné

Rovnako odporúčame priebežne sledovať stránku výrobcu a po vydaní bezpečnostných záplat ihneď vykonať aktualizáciu zasiahnutých systémov.

Dobrou praxou v oblasti sieťovej architektúry je prevádzkovať externé servery v samostatných VLAN, oddelene od ostatných serverov a vnútornej infraštruktúry. V prípade, že máte takúto topológiu nasadenú, odporúčame tiež review firewallových pravidiel.

V prípade zistenia kybernetického bezpečnostného incidentu, spôsobeného zneužitím týchto zraniteľností, ho nahláste na e-mailovú adresu [email protected] slúžiacu pre nahlasovanie incidentov alebo telefonicky na +421 2 68 69 2915.

Zdroje:

• https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
• https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
• https://www.bleepingcomputer.com/news/security/new-microsoft-exchange-zero-day-actively-exploited-in-attacks/
• https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
• https://success.trendmicro.com/dcx/s/solution/000291651?language=en_US
• https://www.zerodayinitiative.com/advisories/upcoming/
• https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9
• https://success.trendmicro.com/dcx/s/solution/000291651?language=en_US
• https://www.rapid7.com/blog/post/2022/09/29/suspected-post-authentication-zero-day-vulnerabilities-in-microsoft-exchange-server/
• https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9

« Späť na zoznam