Figyelem: két új Microsoft Exchange zero-day sebezhetőségre derült fény

A GTSC nevű vietnámi kiberbiztonsági cég két nulladik napi hibát azonosított Micrososft Exchange levelezőszerverekben, amelyeket fenyegetési szereplők támadások során aktívan ki is használnak. A hibákhoz a gyártó még nem adott ki biztonsági frissítést, Exchange adminok számára javasolt a leírásban található megkerülő megoldások alkalmazása. (Frissítve CVE azonosítókkal: 2022.09.30. 11:46)

 

Mit tudni a sebezhetőségekről?

A GTSC szerint a hibák sikeres kihasználása alkalmas arra, hogy a támadó távolról kódot futtasson a sebezhető rendszeren, káros programokat, például webshelleket telepítsen, amelynek segítségével fenntarthatja hozzáférését a fertőzött szerverhez. A sebezhetőségek kihasználásához alkalmazott kérések formátuma nagyon hasonló a tavalyi Proxyshell sérülékenység[1] kihasználásához, erről a cég elemzésében[2] bővebb technikai információ is található.

A két biztonsági hibához ZDI azonosítók[3] (ZDI-CAN-18333 és ZDI-CAN-18802 mellett már CVE szám is tartozik a gyártói közlemény[4] szerint. A CVE-2022-41040 egy SSRF (Server-Side Request Forgery) sebezhetőség, míg a CVE-2022-41082 teszi lehetővé a távoli kódfuttatást (RCE).

A sérülékenységebn érintett verziók: Exchange Server 2013, 2016, 2019.

 

A GTSC által azonosított támadásokról

A GTSC jelentésében arról számol be, hogy a támadók a China Chopper[5] nevű webshellt alkalmazták az azonosított támadások során. A kínai fenyegetési szereplőkhöz köthető káros kódot a támadók az Antsword nevű nyílt forráskódú, platformközi weboldal adminisztrációs eszközzel irányították.

A sebezhetőségek leginkább azon vállalatokat fenyegetik, amelyek Exchange levelező szerverükhöz a nyílt Internet irányából hozzáférést engednek Outlook Web Appon keresztül, VPN nélkül.

 

Átmeneti mitigációs lehetőség

A GTSC azt javasolja Exchange adminok számára, hogy a biztonsági frissítés megjelenéséig IIS szerverek URL Rewrite Module-ja [6] segítségével (Elérési útja: FrontEnd  >Autodiscover > URL Rewrite > Request Blockin) készítsenek blokkoló szabályokat az alábbi indikátoroknak megfelelően:

  • sztring hozzáadása: “.*autodiscover\.json.*\@.*Powershell.*” az URL elérési úthoz
  • Condition input: Choose {REQUEST_URI}

A lehetséges kompromittálódás ellenőrzése

Adminok a GTSC avaslata alapján az alábbi powershell parancs segítségvel ellenőrizhetik, hogy szerverük kezelt-e a sérülékenység kihasználására utaló kéréseket:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

A GTSC által közzétett,  támadásra utalóindikátorok (IoC):

Webshell:

File Name: pxh4HG1v.ashx

                Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

                Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx

File Name: RedirSuiteServiceProxy.aspx

                Hash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5

                Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx

File Name: RedirSuiteServiceProxy.aspx

                Hash (SHA256): b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca

                Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx

File Name: Xml.ashx

                Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

                Path: Xml.ashx

Filename: errorEE.aspx

SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257

Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx

DLL:

File name: Dll.dll

SHA256:

074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82

45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9

9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0

29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3

c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2

File name: 180000000.dll (Dump từ tiến trình Svchost.exe)

SHA256: 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e

IP:

125[.]212[.]220[.]48

5[.]180[.]61[.]17

47[.]242[.]39[.]92

61[.]244[.]94[.]85

86[.]48[.]6[.]69

86[.]48[.]12[.]64

94[.]140[.]8[.]48

94[.]140[.]8[.]113

103[.]9[.]76[.]208

103[.]9[.]76[.]211

104[.]244[.]79[.]6

112[.]118[.]48[.]186

122[.]155[.]174[.]188

125[.]212[.]241[.]134

185[.]220[.]101[.]182

194[.]150[.]167[.]88

212[.]119[.]34[.]11

URL:

hxxp://206[.]188[.]196[.]77:8080/themes.aspx

C2:

137[.]184[.]67[.]33

Hivatkozások:

[1] ProxyShell sérülékenység https://nki.gov.hu/it-biztonsag/hirek/proxyshell-serulekenysegekrol-adott-ki-riasztast-a-cisa/

[2] A GTSC blogbejegyzése a sérülékenységekről https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

[3] Zero Day Initiative https://www.zerodayinitiative.com/advisories/upcoming/

[4] CISA riasztás a China Chopper malware-elemzésről https://www.cisa.gov/uscert/ncas/analysis-reports/ar21-102a

[5] Bővebb információ az URL Rewrite modulról https://learn.microsoft.com/en-us/iis/extensions/url-rewrite-module/using-the-url-rewrite-module

[6] A sebezhetőségekkel kapcsolatban kiadott Microsoft közlemény: https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/