Microsoft har bekräftat två nya zero-day sårbarheter i Microsoft Exchange Server (CVE-2022-41040 och CVE-2022-41082) utnyttjas i "begränsade, riktade attacker." I avsaknad av en officiell patch bör organisationer kontrollera sina miljöer för tecken på exploatering och sedan tillämpa nödåtgärder.

• CVE-2022-41040 — Förfalskning av förfrågningar på serversidan, som tillåter autentiserade angripare att göra förfrågningar som utger sig för att vara den drabbade maskinen
• CVE-2022-41082 — Fjärrkodexekvering, som tillåter autentiserade angripare att exekvera godtycklig PowerShell.

"För närvarande finns det inga kända proof-of-concept-skript eller exploateringsverktyg tillgängliga i naturen," skrev John Hammond, en hotjägare med Huntress. Men det betyder bara att klockan tickar. Med förnyat fokus på sårbarheten är det bara en tidsfråga innan nya exploits eller proof-of-concept-skript blir tillgängliga.

Steg för att upptäcka exploatering

Den första sårbarheten – förfalskningsfelet på serversidan – kan användas för att uppnå den andra – sårbarheten för fjärrkörning av kod – men attackvektorn kräver att motståndaren redan är autentiserad på servern.

Enligt GTSC kan organisationer kontrollera om deras Exchange-servrar redan har utnyttjats genom att köra följande PowerShell-kommando:

Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover.json.*@.*200

GTSC har också utvecklat ett verktyg för att söka efter tecken på exploatering och släppte den på GitHub. Den här listan kommer att uppdateras när andra företag släpper sina verktyg.

Microsoft-specifika verktyg

• Enligt Microsoft, det finns frågor i Microsoft Sentinel som kan användas för att leta efter detta specifika hot. En sådan fråga är Exchange SSRF Autodiscover ProxyShell detektion, som skapades som svar på ProxyShell. Den nya Exchange Server Misstänkta filnedladdningar sökfrågan letar specifikt efter misstänkta nedladdningar i IIS-loggar.
• Varningar från Microsoft Defender for Endpoint angående möjlig webbskalinstallation, möjlig IIS-webbskal, misstänkt Exchange-processexekvering, möjlig exploatering av Exchange Server-sårbarheter, misstänkta processer som tyder på ett webbskal och möjlig IIS-kompromettering kan också vara tecken på att Exchange Server har varit äventyras via de två sårbarheterna.
• Microsoft Defender kommer att upptäcka försöken efter exploatering som Bakdörr: ASP/Webshell.Y och Bakdörr:Win32/RewriteHttp.A.

Flera säkerhetsleverantörer har meddelat uppdateringar av sina produkter för att upptäcka utnyttjande också.

Huntress sa att de övervakar cirka 4,500 XNUMX Exchange-servrar och undersöker för närvarande dessa servrar för potentiella tecken på utnyttjande i dessa servrar. "För tillfället har Huntress inte sett några tecken på utnyttjande eller indikatorer på kompromisser på våra partners enheter," skrev Hammond.

Begränsande åtgärder att vidta

Microsoft lovade att det snabbar upp en fix. Tills dess bör organisationer tillämpa följande begränsningar på Exchange Server för att skydda sina nätverk.

Enligt Microsoft bör lokala Microsoft Exchange-kunder tillämpa nya regler genom modulen URL Rewrite Rule på IIS-servern.

• I IIS Manager -> Standardwebbplats -> Autodiscover -> URL Rewrite -> Actions, välj Request Blocking och lägg till följande sträng i URL-sökvägen:

.*autodiscover.json.*@.*Powershell.*

Villkorsindata ska ställas in på {REQUEST_URI}

• Blockera portarna 5985 (HTTP) och 5986 (HTTPS) eftersom de används för Remote PowerShell.

Om du använder Exchange Online:

Microsoft sa att Exchange Online-kunder inte påverkas och inte behöver vidta några åtgärder. Organisationer som använder Exchange Online har dock sannolikt hybrid Exchange-miljöer, med en blandning av lokala och molnsystem. De bör följa ovanstående riktlinjer för att skydda de lokala servrarna.