De nieuwe Microsoft Exchange is actief misbruikt bij aanvallen

Bedreigingsactoren exploiteren zero-day bugs in Microsoft Exchange die nog niet zijn gedetecteerd, waardoor code op afstand kan worden uitgevoerd, volgens beweringen van beveiligingsonderzoekers van de Vietnamese cyberbeveiligingsdienst GTSC, die de aanvallen voor het eerst ontdekte en rapporteerde.

Aanvallers serialiseren het zero-day-paar om Chinese webhelikopters te verspreiden op gecompromitteerde servers om te blijven bestaan ​​en gegevens te stelen, en om zijwaarts te gaan naar andere systemen op de netwerken van de slachtoffers.

“De kwetsbaarheid bleek zo kritiek te zijn dat een aanvaller RCE zou kunnen uitvoeren op het gecompromitteerde systeem”, aldus de onderzoekers. Hij zei.

GTSC vermoedt dat een Chinese dreigingsgroep verantwoordelijk is voor de aanvallen op basis van de codepagina voor Web Shells, de tekencodering van Microsoft voor Vereenvoudigd Chinees.

De user-agent die wordt gebruikt om webshells te installeren, behoort ook tot Antsword, een in China gevestigde open source websitebeheertool met ondersteuning voor webshellbeheer.

Microsoft heeft nog geen informatie over de beveiligingsfouten bekendgemaakt en heeft nog geen CVE-ID ingesteld om ze op te sporen.

Onderzoekers meldden de kwetsbaarheden drie weken geleden privé aan Microsoft via Zero Day Initiatiefdie haar volgt als ZDI-CAN-18333 En de ZDI-CAN-18802 Nadat de analisten de geldigheid van deze problemen hadden geverifieerd.

Ze voegden eraan toe: “GTSC heeft de kwetsbaarheid onmiddellijk bij Zero Day Initiative (ZDI) ingediend om met Microsoft samen te werken, zodat de patch zo snel mogelijk kan worden voorbereid.” “ZDI heeft twee creaties geverifieerd en goedgekeurd, hun CVSS-scores zijn 8,8 en 6,3.”

Trend Micro heeft donderdagavond een beveiligingsadvies uitgebracht waarin wordt bevestigd dat ze de nieuwe zero-day-kwetsbaarheden in Microsoft Exchange die door GTSC zijn ontdekt, naar Microsoft hebben gestuurd.

READ  Voormalig World of Warcraft-ontwerper verontschuldigt zich voor Tone-Deaf 2010 BlizzCon-antwoord

Het bedrijf heeft tijdens deze nuldagen al ontdekkingen toegevoegd aan zijn IPS N-Platform-, NX-Platform- of TPS-producten.

GTSC heeft zeer weinig details vrijgegeven over deze zero-day bugs. De onderzoekers onthulden echter dat de verzoeken die in deze exploitketen worden gebruikt, vergelijkbaar zijn met die welke worden gebruikt bij het richten van aanvallen ProxyShell-kwetsbaarheden.

De exploitatie verloopt in twee fasen:

  1. Verzoeken met een indeling die lijkt op de ProxyShell-kwetsbaarheid: autodiscover/[email protected]/ &Email=autodiscover/autodiscover.json%[email protected].
  2. Gebruik de bovenstaande link om toegang te krijgen tot een component in de backend waar RCE kan worden geïmplementeerd.

“Uit het versienummer van deze Exchange-servers bleek dat de laatste update al was geïnstalleerd, dus misbruik met de Proxyshell-kwetsbaarheid was onmogelijk”, aldus de onderzoekers.

Tijdelijke opvang is beschikbaar

Totdat Microsoft beveiligingsupdates uitbrengt om Zero Days aan te pakken, GTSC .shared tijdelijke opluchting Dat zou aanvalspogingen voorkomen door een nieuwe IIS-serverregel toe te voegen met behulp van de module URL Rewrite Rule:

  1. Selecteer in FrontEnd Autodiscover het tabblad URL herschrijven en vervolgens Verzoek blokkeren.
  2. tekenreeks toevoegen “. * Automatisch ontdekken \ .json. * \ @. * Powershell. *naar het URL-pad.
  3. Voorwaarde invoeren: kies {REQUEST_URI}

GTSC voegde toe: “We raden alle organisaties/instellingen over de hele wereld aan om Microsoft Exchange Server te gebruiken om de bovenstaande tijdelijke remedie zo snel mogelijk te controleren, te beoordelen en toe te passen om mogelijk ernstige schade te voorkomen.”

Beheerders die willen controleren of hun Exchange-servers al zijn gecompromitteerd met behulp van deze exploit, kunnen de volgende PowerShell-opdracht uitvoeren om IIS-logbestanden te scannen op tekenen van compromis:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200

Woordvoerders van Microsoft en ZDI waren niet onmiddellijk beschikbaar voor commentaar toen BleepingComputer eerder vandaag contact met hen opnam.

Dit is een evoluerend verhaal.

Update 29-09-22 19:02 EST: informatie toegevoegd over de zero-day-richtlijnen van Trend Micro.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *