Уязвимость Microsoft Exchange 0-Day

vulnerability vulnerability

28 сентября 2022 года компания по кибербезопасности GTSC опубликовала блог, в котором описала попытку эксплойта на системе, которую они отслеживали. После анализа им удалось обнаружить и отправить в Microsoft две ошибки в рамках Инициативы нулевого дня (ZDI-CAN-18333 (CVSS 8.8) и ZDI-CAN-18802 (CVSS 6.3)). Microsoft подтвердила результаты, и уязвимостям были присвоены CVE-2022-41040 и CVE-2022-41082.

CVE-2022-41040 - это уязвимость подделки запросов на стороне сервера (SSRF), а CVE-2022-41082 позволяет удаленное выполнение кода (RCE) при наличии PowerShell.

Какие версии Microsoft Exchange уязвимы?

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Как эксплуатируются уязвимости?

Похоже, что меры, использованные для устранения уязвимостей ProxyShell (собирательное название трех связанных между собой уязвимостей Microsoft Exchange: CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207) были не совсем успешными.

Как и в случае с той коллекцией, эти новые уязвимости должны быть объединены в цепочку, чтобы сработать. CVE-2022-41040 может быть использована с помощью GET-запроса, аналогичного ProxyShell.

Например:

GET autodiscover/autodiscover.json?@evilinc.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evilinc.com

Основное различие между двумя наборами уязвимостей заключается в том, что для успешной эксплуатации устройства необходим аутентифицированный доступ к уязвимому серверу Exchange Server. Сначала это может показаться тривиальным, но учетные данные можно легко и относительно недорого купить в дарквебе.

Значимость уязвимостей Microsoft Exchange

Microsoft Exchange широко используется в корпоративных средах, и непропатченная уязвимость, которая может позволить злоумышленнику удаленное выполнение кода, представляет значительный риск для любой организации.

Наблюдались ли попытки использования уязвимостей CVE-2022-41040 и CVE-2022-41082 в дикой природе?

Да. Microsoft сообщила, что обе уязвимости используются в "ограниченных и целенаправленных" атаках. Кроме того, как уже упоминалось, GTSC первоначально обнаружила эти уязвимости путем прямого наблюдения за вторжением.
Были ли исправлены эти уязвимости?

На момент написания этой статьи (30 сентября 2022 года) исправление не было выпущено. Microsoft заявила, что патч разрабатывается в ускоренном режиме.

Предоставил ли производитель какие-либо меры по смягчению последствий?

Да, компания Microsoft выпустила следующую процедуру смягчения последствий:

"Текущее решение проблемы заключается в добавлении блокирующего правила в "IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions" для блокирования известных шаблонов атак".

Чтобы выполнить это действие:

  1. Откройте диспетчер IIS.
  2. Раскройте веб-сайт по умолчанию.
  3. Выберите Autodiscover.
  4. В представлении характеристик нажмите URL Rewrite.
  5. В панели Действия с правой стороны нажмите Добавить правила.
  6. Выберите Блокирование запросов и нажмите OK.
  7. Добавьте строку ".*autodiscover\.json.*\@.*Powershell.*". (исключая кавычки) и нажмите OK.
  8. Разверните правило, выберите правило с шаблоном ".*autodiscover\.json.*\@.*Powershell.*" и нажмите Изменить в разделе Условия.
  9. Измените ввод условия с {URL} на {REQUEST_URI}.

Компания Microsoft также заявила, что блокирование следующих портов Remote PowerShell может ограничить потенциальные попытки атак.

  • HTTP: 5985
  • HTTPS: 5986

Indicators of Compromise

IPv4

  • 103.9.76.208
  • 103.9.76.211
  • 104.244.79.6
  • 112.118.48.186
  • 122.155.174.188
  • 125.212.220.48
  • 125.212.241.134
  • 137.184.67.33
  • 185.220.101.182
  • 194.150.167.88
  • 212.119.34.11
  • 47.242.39.92
  • 5.180.61.17
  • 61.244.94.85
  • 86.48.12.64
  • 86.48.6.69
  • 94.140.8.113
  • 94.140.8.48

URLs

  • http://206.188.196.77:8080/themes.aspx

 

 

SEC-1275-1
Добавить комментарий