Tehdit aktörleri, saldırıları ilk fark eden ve bildiren Vietnamlı siber güvenlik ekibi GTSC’deki güvenlik araştırmacılarının iddialarına göre, uzaktan kod yürütülmesine izin veren henüz açıklanmayan Microsoft Exchange sıfır gün hatalarından yararlanıyor.
Saldırganlar, Çin Chopper web kabuklarını kalıcılık ve veri hırsızlığı için güvenliği ihlal edilmiş sunuculara dağıtmak ve ayrıca kurbanların ağlarındaki diğer sistemlere yanal olarak geçmek için sıfır gün çiftini zincirliyor.
Araştırmacılar, “Güvenlik açığı o kadar kritik ki, saldırganın güvenliği ihlal edilmiş sistemde RCE yapmasına izin veriyor” söz konusu.
GTSC, basitleştirilmiş Çince için bir Microsoft karakter kodlaması olan web kabuklarının kod sayfasına dayanan saldırılardan bir Çinli tehdit grubunun sorumlu olduğundan şüpheleniyor.
Web kabuklarını yüklemek için kullanılan kullanıcı aracısı ayrıca, web kabuğu yönetimi desteğine sahip, Çin merkezli bir açık kaynaklı web sitesi yönetici aracı olan Antsword’a aittir.
Microsoft, şu ana kadar iki güvenlik açığıyla ilgili herhangi bir bilgi açıklamadı ve bunları izlemek için henüz bir CVE kimliği atamadı.
Araştırmacılar, güvenlik açıklarını üç hafta önce Microsoft’a özel olarak bildirdiler. Sıfır Gün Girişimionları takip eden ZDI-CAN-18333 ve ZDI-CAN-18802 analistleri sorunları doğruladıktan sonra.
“GTSC, bir yamanın en kısa sürede hazırlanabilmesi için Microsoft ile çalışmak üzere hemen Zero Day Initiative’e (ZDI) güvenlik açığını gönderdi” diye eklediler. “ZDI, CVSS puanları 8.8 ve 6.3 olan 2 hatayı doğruladı ve onayladı.”
Trend Micro, Perşembe akşamı bir güvenlik danışma belgesi yayınladı ve GTSC tarafından keşfedilen iki yeni Microsoft Exchange sıfırıncı gün güvenlik açığını Microsoft’a sunduklarını doğruladı.
Şirket, IPS N-Platform, NX-Platform veya TPS ürünlerine bu sıfır gün için algılamaları zaten ekledi.
GTSC, bu sıfır gün hatalarıyla ilgili çok az ayrıntı yayınladı. Yine de araştırmacıları, bu açıklardan yararlanma zincirinde kullanılan isteklerin, kullanıcıları hedef alan saldırılarda kullanılanlara benzer olduğunu ortaya çıkardı. ProxyShell güvenlik açıkları.
İstismar iki aşamada çalışır:
- ProxyShell güvenlik açığına benzer biçime sahip istekler: autodiscover/autodiscover.json?sponsorofevil.com/
&Email=autodiscover/autodiscover.json%3fsponsorofevil.com . - RCE’nin uygulanabileceği arka uçtaki bir bileşene erişmek için yukarıdaki bağlantının kullanılması.
Araştırmacılar, “Bu Exchange sunucularının sürüm numarası, en son güncellemenin zaten kurulu olduğunu gösterdi, bu nedenle Proxyshell güvenlik açığını kullanarak bir istismarın imkansız olduğunu” söyledi.
Geçici azaltma mevcut
Microsoft, iki sıfır günü ele almak için güvenlik güncellemeleri yayınlayana kadar, GTSC paylaştı geçici hafifletme URL Yeniden Yazma Kuralı modülünü kullanarak yeni bir IIS sunucu kuralı ekleyerek saldırı girişimlerini engeller:
- FrontEnd’de Otomatik Bulma’da, URL Yeniden Yazma sekmesini ve ardından İstek Engelleme’yi seçin.
- dize ekle “.*autodiscover\.json.*\@.*Powershell.*“ URL Yoluna.
- Koşul girişi: {REQUEST_URI} öğesini seçin
GTSC, “Dünya çapında Microsoft Exchange Server kullanan tüm kuruluşların/işletmelerin, olası ciddi zararlardan kaçınmak için yukarıdaki geçici çözümü mümkün olan en kısa sürede kontrol etmelerini, incelemelerini ve uygulamalarını tavsiye ediyoruz.” dedi.
Bu istismar kullanılarak Exchange sunucularının güvenliği ihlal edilip edilmediğini kontrol etmek isteyen yöneticiler, güvenlik ihlali göstergeleri için IIS günlük dosyalarını taramak için aşağıdaki PowerShell komutunu çalıştırabilir:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'
Microsoft ve ZDI sözcüleri, bugün erken saatlerde BleepingComputer ile iletişime geçtiğinde yorum yapmak için hemen müsait değildi.
Bu gelişmekte olan bir hikaye.
Güncelleme 29/09/22 19:02 EST: Trend Micro’nun iki sıfır günle ilgili tavsiyesi hakkında bilgi eklendi.