Microsoft, Microsoft Exchange Server 2013, 2016 ve 2019’da yakın zamanda bildirilen iki sıfır gün güvenlik açığının vahşi ortamda istismar edildiğini doğruladı.
“CVE-2022-41040 olarak tanımlanan ilk güvenlik açığı, Sunucu Tarafı İstek Sahteciliği (SSRF) güvenlik açığı iken, CVE-2022-41082 olarak tanımlanan ikinci güvenlik açığı, PowerShell tarafından erişilebilir olduğunda uzaktan kod yürütülmesine (RCE) izin verir. saldırgan” Microsoft dedi.
“Şu anda Microsoft, kullanıcıların sistemlerine girmek için iki güvenlik açığını kullanan sınırlı hedefli saldırıların farkındadır.”
Şirket, CVE-2022-41040 açığından yalnızca kimliği doğrulanmış saldırganlar tarafından yararlanılabileceğini de sözlerine ekledi. Başarılı bir istismar daha sonra CVE-2022-41082 RCE güvenlik açığını tetiklemelerine olanak tanır.
Sıfır günler yalnızca şirket içi Microsoft Exchange örneklerini etkilediğinden, Microsoft Exchange Çevrimiçi Müşterilerinin şu anda herhangi bir işlem yapmasına gerek yoktur.
Microsoft, “Bir düzeltme yayınlamak için hızlandırılmış bir zaman çizelgesi üzerinde çalışıyoruz. O zamana kadar, müşterilerin kendilerini bu saldırılardan korumalarına yardımcı olmak için aşağıdaki azaltma ve algılama kılavuzlarını sağlıyoruz” dedi.
Vietnam siber güvenlik ekibi GTSC’ye göre, devam eden saldırıları ilk kim bildirdisıfır günler, kalıcılık ve veri hırsızlığı için Chinese Chopper web kabuklarını dağıtmak ve kurbanların ağları arasında yanlamasına hareket etmek için zincirlendi.
GTSC ayrıca, basitleştirilmiş Çince için bir Microsoft karakter kodlaması olan web kabuklarının kod sayfasına dayanan devam eden saldırılardan bir Çinli tehdit grubunun sorumlu olabileceğinden şüpheleniyor.
Tehdit grubu ayrıca web kabuklarını, güvenliği ihlal edilmiş sunuculara yüklemek için kullanılan kullanıcı aracısının ortaya çıkardığı gibi, Antsword Chinese açık kaynaklı web sitesi yönetici aracıyla yönetir.
Azaltma mevcut
Redmond, güvenlik araştırmacıları ayrıca iki kusuru Microsoft’a özel olarak bildiren GTSC tarafından dün paylaşılan azaltma önlemlerini de doğruladı. Sıfır Gün Girişimi Üç hafta önce.
Microsoft, “Şirket içi Microsoft Exchange müşterileri aşağıdaki URL Yeniden Yazma Talimatlarını incelemeli ve uygulamalı ve açıkta kalan Uzak PowerShell bağlantı noktalarını engellemelidir.”
“Geçerli azaltma, bilinen saldırı modellerini engellemek için “IIS Yöneticisi -> Varsayılan Web Sitesi -> Otomatik Bulma -> URL Yeniden Yazma -> Eylemler” bölümüne bir engelleme kuralı eklemektir.”
Azaltma özelliğini güvenlik açığı bulunan sunuculara uygulamak için aşağıdaki adımları uygulamanız gerekir:
- IIS Yöneticisini açın.
- Varsayılan Web Sitesini genişletin.
- Otomatik Keşfet’i seçin.
- Özellik Görünümünde, URL Yeniden Yaz’a tıklayın.
- Sağ taraftaki Eylemler bölmesinde, Kural Ekle’yi tıklayın.
- Engelleme İste’yi seçin ve Tamam’a tıklayın.
- “.*autodiscover\.json.*\@.*Powershell.*” (tırnak işaretleri hariç) Dizesini ekleyin ve Tamam’ı tıklayın.
- Kuralı genişletin ve “.*autodiscover\.json.*\@.*Powershell.*” Modeli ile kuralı seçin ve Koşullar altında Düzenle’yi tıklayın.
- {URL} olan koşul girişini {REQUEST_URI} olarak değiştirin
Tehdit aktörleri, CVE-2022-41082 istismar yoluyla uzaktan kod yürütmek için açıkta ve savunmasız Exchange sunucularında PowerShell Remoting’e de erişebildiğinden, Microsoft ayrıca yöneticilere saldırıları engellemek için aşağıdaki Uzak PowerShell bağlantı noktalarını engellemelerini önerir:
GTSC dün, Exchange sunucularının güvenliği ihlal edilip edilmediğini kontrol etmek isteyen yöneticilerin, güvenlik ihlali göstergeleri için IIS günlük dosyalarını taramak için aşağıdaki PowerShell komutunu çalıştırabileceklerini söyledi:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'