Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Inquiet de l'échange Zero-Day ? Voici quoi faire

Republié par Platon
Republié par Platon

Date :

Vues: 173

Microsoft a confirmé deux nouvelles vulnérabilités zero-day dans Microsoft Exchange Server (CVE-2022-41040 et CVE-2022-41082) sont exploités dans des « attaques ciblées limitées ». En l'absence de correctif officiel, les organisations doivent vérifier si leurs environnements présentent des signes d'exploitation, puis appliquer les mesures d'atténuation d'urgence.

  • CVE-2022-41040 — Falsification de requêtes côté serveur, permettant à des attaquants authentifiés de faire des requêtes se faisant passer pour la machine affectée
  • CVE-2022-41082 — Exécution de code à distance, permettant aux attaquants authentifiés d'exécuter PowerShell arbitrairement.

"Actuellement, il n'y a pas de scripts de preuve de concept connus ou d'outils d'exploitation disponibles dans la nature", écrit John Hammond, un chasseur de menace avec Huntress. Cependant, cela signifie simplement que l'horloge tourne. Avec un regain d'attention sur la vulnérabilité, ce n'est qu'une question de temps avant que de nouveaux exploits ou scripts de preuve de concept ne soient disponibles.

Étapes pour détecter l'exploitation

La première vulnérabilité - la faille de falsification de requête côté serveur - peut être utilisée pour atteindre la seconde - la vulnérabilité d'exécution de code à distance - mais le vecteur d'attaque nécessite que l'adversaire soit déjà authentifié sur le serveur.

Par GTSC, les organisations peuvent vérifier si leurs serveurs Exchange ont déjà été exploités en exécutant la commande PowerShell suivante :

Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200

GTSC a également développé un outil de recherche de signes d'exploitation et l'a publié sur GitHub. Cette liste sera mise à jour au fur et à mesure que d'autres entreprises publieront leurs outils.

Outils spécifiques à Microsoft

  • Selon Microsoft, il existe des requêtes dans Microsoft Sentinel qui pourraient être utilisées pour rechercher cette menace spécifique. Une de ces requêtes est la Exchange ProxyShell de découverte automatique SSRF détection, qui a été créé en réponse à ProxyShell. Le nouveau Téléchargements de fichiers suspects sur Exchange Server query recherche spécifiquement les téléchargements suspects dans les journaux IIS.
  • Les alertes de Microsoft Defender pour point de terminaison concernant une éventuelle installation de shell Web, un éventuel shell Web IIS, une exécution suspecte du processus Exchange, une exploitation possible des vulnérabilités d'Exchange Server, des processus suspects indiquant un shell Web et une éventuelle compromission IIS peuvent également être des signes que Exchange Server a été compromis via les deux vulnérabilités.
  • Microsoft Defender détectera les tentatives de post-exploitation comme Porte dérobée : ASP/Webshell.Y et Porte dérobée : Win32/RewriteHttp.A.

Plusieurs fournisseurs de sécurité ont également annoncé des mises à jour de leurs produits pour détecter l'exploitation.

Huntress a déclaré qu'il surveillait environ 4,500 XNUMX serveurs Exchange et enquêtait actuellement sur ces serveurs pour détecter d'éventuels signes d'exploitation sur ces serveurs. "Pour le moment, Huntress n'a vu aucun signe d'exploitation ou indicateur de compromis sur les appareils de nos partenaires", a écrit Hammond.

Mesures d'atténuation à prendre

Microsoft a promis d'accélérer la mise au point d'un correctif. Jusque-là, les organisations doivent appliquer les mesures d'atténuation suivantes à Exchange Server pour protéger leurs réseaux.

Selon Microsoft, les clients Microsoft Exchange sur site doivent appliquer de nouvelles règles via le module URL Rewrite Rule sur le serveur IIS.

  • Dans IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions, sélectionnez Request Blocking et ajoutez la chaîne suivante au chemin de l'URL :
.*autodiscover.json.*@.*Powershell.*

L'entrée de condition doit être définie sur {REQUEST_URI}

  • Bloquez les ports 5985 (HTTP) et 5986 (HTTPS) car ils sont utilisés pour Remote PowerShell.

Si vous utilisez Exchange Online :

Microsoft a déclaré que les clients Exchange Online ne sont pas affectés et n'ont pas besoin de prendre de mesures. Cependant, les organisations utilisant Exchange Online sont susceptibles d'avoir des environnements Exchange hybrides, avec un mélange de systèmes sur site et cloud. Ils doivent suivre les instructions ci-dessus pour protéger les serveurs sur site.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.

Discutez avec nous

Salut! Comment puis-je t'aider?