Logo Zephyrnet

Preoccupato per lo scambio zero-day? Ecco cosa fare

Data:

Microsoft ha confermato due nuove vulnerabilità zero-day in Microsoft Exchange Server (CVE-2022-41040 e CVE-2022-41082) vengono sfruttati in "attacchi limitati e mirati". In assenza di una patch ufficiale, le organizzazioni dovrebbero controllare i loro ambienti per segni di sfruttamento e quindi applicare le misure di mitigazione dell'emergenza.

  • CVE-2022-41040 — Falsificazione delle richieste lato server, che consente agli aggressori autenticati di effettuare richieste che si spacciano per la macchina interessata
  • CVE-2022-41082 — Esecuzione di codice in modalità remota, che consente agli aggressori autenticati di eseguire PowerShell arbitrario.

"Attualmente, non ci sono script di proof-of-concept noti o strumenti di sfruttamento disponibili in natura", ha scritto John Hammond, un cacciatore di minacce con Huntress. Tuttavia, ciò significa solo che il tempo sta ticchettando. Con una rinnovata attenzione alla vulnerabilità, è solo questione di tempo prima che nuovi exploit o script di proof-of-concept diventino disponibili.

Passaggi per rilevare lo sfruttamento

La prima vulnerabilità, il difetto di falsificazione della richiesta lato server, può essere utilizzata per ottenere la seconda, la vulnerabilità dell'esecuzione di codice in modalità remota, ma il vettore di attacco richiede che l'avversario sia già autenticato sul server.

Per GTSC, le organizzazioni possono verificare se i loro server Exchange sono già stati sfruttati eseguendo il seguente comando PowerShell:

Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200

GTSC ha anche sviluppato uno strumento per la ricerca di segni di sfruttamento e rilasciato su GitHub. Questo elenco verrà aggiornato man mano che altre aziende rilasceranno i loro strumenti.

Strumenti specifici di Microsoft

  • Secondo Microsoft, sono presenti query in Microsoft Sentinel che potrebbero essere utilizzate per cercare questa specifica minaccia. Una di queste query è il Scambia SSRF Autodiscover ProxyShell rilevamento, creato in risposta a ProxyShell. Il nuovo Download di file sospetti di Exchange Server query cerca specificamente i download sospetti nei log di IIS.
  • Anche gli avvisi di Microsoft Defender per Endpoint relativi a possibile installazione di shell Web, possibile shell Web IIS, esecuzione sospetta del processo di Exchange, possibile sfruttamento delle vulnerabilità di Exchange Server, processi sospetti indicativi di una shell Web e possibile compromissione di IIS sono segni che Exchange Server è stato compromessa dalle due vulnerabilità.
  • Microsoft Defender rileverà i tentativi post-sfruttamento come Backdoor: ASP/Webshell.Y ed Backdoor:Win32/RewriteHttp.A.

Diversi fornitori di sicurezza hanno anche annunciato aggiornamenti ai loro prodotti per rilevare lo sfruttamento.

Huntress ha affermato che monitora circa 4,500 server Exchange e sta attualmente esaminando quei server per potenziali segni di sfruttamento in questi server. "Al momento, Huntress non ha visto alcun segno di sfruttamento o indicatore di compromesso sui dispositivi dei nostri partner", ha scritto Hammond.

Misure di mitigazione da intraprendere

Microsoft ha promesso che sta accelerando una soluzione. Fino ad allora, le organizzazioni dovrebbero applicare le seguenti attenuazioni a Exchange Server per proteggere le proprie reti.

In base a Microsoft, i clienti Microsoft Exchange locali devono applicare nuove regole tramite il modulo Regole di riscrittura degli URL sul server IIS.

  • In Gestione IIS -> Sito Web predefinito -> Individuazione automatica -> Riscrittura URL -> Azioni, seleziona Richiedi blocco e aggiungi la seguente stringa al Percorso URL:
.*autodiscover.json.*@.*Powershell.*

L'input della condizione deve essere impostato su {REQUEST_URI}

  • Blocca le porte 5985 (HTTP) e 5986 (HTTPS) poiché vengono utilizzate per Remote PowerShell.

Se utilizzi Exchange Online:

Microsoft ha affermato che i clienti di Exchange Online non sono interessati e non devono intraprendere alcuna azione. Tuttavia, è probabile che le organizzazioni che utilizzano Exchange Online dispongano di ambienti Exchange ibridi, con un mix di sistemi on-premise e cloud. Dovrebbero seguire le indicazioni di cui sopra per proteggere i server locali.

spot_img

L'ultima intelligenza

spot_img