Neuer Zero Day in Exchange Server

Microsoft, MSExchange Servergab bekannt, dass zwei neue Zero-Days gemeldet wurden, die sich auf die Versionen 2013 und später auswirken. Diese beiden neuen Zero Days wurden als CVE-2022-41040 und CVE-2022-41082 angekündigt.

Derzeit sind Microsoft begrenzte Angriffe bekannt, die diese beiden Schwachstellen ausnutzen, um in die Systeme der Benutzer einzudringen. Bei diesen Angriffen, CVE-2022-41040, wurde festgestellt, dass ein authentifizierter Angreifer CVE-2022-41082 aus der Ferne auslösen konnte.

Um eine dieser beiden Schwachstellen erfolgreich auszunutzen, müssen die Betroffenen Es ist zu beachten, dass ein authentifizierter Zugriff auf den Exchange Server erforderlich ist.

Es gibt kein von Microsoft veröffentlichtes Update. Microsoft hat eine vorübergehende Lösung für diesen Prozess vorgeschlagen.

Microsoft Exchange Online umfasst Erkennungs- und Schutzfunktionen zum Schutz der Kunden. Microsoft überwacht diese vorab bereitgestellten Erkennungen auch auf böswillige Aktivitäten und ergreift die erforderlichen Maßnahmen zum Schutz seiner Kunden.

Zero-Day-Übergangslösung

Für Microsoft Exchange Online-Kunden ist keine Aktion erforderlich.

Benutzer von On-Prem-Exchange-Servern können Ports mithilfe von URL Rewrite blockieren. Diese Methode wird von Microsoft als vorübergehende Lösung angesehen.

Zunächst folgen wir den Schritten IIS – Default Site – AutoDiscover – URL Rewrite.

1 1536x986 1

Wir klicken rechts auf die Schaltfläche „Regel(n) hinzufügen“ und gelangen zur Schaltfläche „Blockierung anfordern“.

Exchange Server Zero Day

Blockieren Sie den Zugriff basierend auf: URL-Pfad

Blockanforderung, die mit dem Muster übereinstimmt

Muster (URL-Pfad): ".*autodiscover.json.*@.*Powershell.*"

Zero-Day-Anfrage

Wir erweitern die von uns erstellte Regel, klicken mit der rechten Maustaste auf die Regel „.*autodiscover.json.*@.*Powershell.*“ und klicken auf Bearbeiten.

5 1536x986 1

Im Abschnitt „Bedingung bearbeiten“;

Bedingungseingabe Abschnitt {REQUEST_URI} Wir organisieren als.

glwbyq gteltsc vn

Auswirkung: Wenn das URL-Rewrite-Modul wie empfohlen installiert wird, hat es keine bekannten Auswirkungen auf die Exchange Server-Funktionalität.

Betroffen von Sicherheitslücke Exchange Server in ihren Systemen Powershell Authentifizierte Angreifer mit Zugriff auf Remoting können RCE mithilfe von CVE-2022-41082 auslösen. Durch das Blockieren der für Remote PowerShell verwendeten Ports können diese Angriffe eingeschränkt werden.

  • HTTP: 5985 
  • HTTPS: 5986 

Angriffsanalyse

Wir können IIS-Protokolle zur Angriffsanalyse überprüfen. Sie können dazu PowerShell verwenden.

Sie müssen lediglich die folgende Befehlszeile in PowerShell ausführen, um die IIS-Protokolle zu analysieren.

Get-ChildItem -Recurse -Path -Filter „*.log“ | Select-String -Pattern 'powershell.*autodiscover.json.*@.*200'

Angriffsdetails

Dateiname: pxh4HG1v.ashx

                Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

                Pfad: C:ProgrammeMicrosoftExchange ServerV15FrontEndHttpProxyowaauthpxh4HG1v.ashx

Dateiname: RedirSuiteServiceProxy.aspx

                Hash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5

                Pfad: C:ProgrammeMicrosoftExchange ServerV15FrontEndHttpProxyowaauthRedirSuiteServiceProxy.aspx

Dateiname: RedirSuiteServiceProxy.aspx

                Hash (SHA256): b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca

                Pfad: C:ProgrammeMicrosoftExchange ServerV15FrontEndHttpProxyowaauthRedirSuiteServiceProxy.aspx

Dateiname: xml.ashx

                Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

                Pfad: C:inetpubwwwrootaspnet_clientXml.ashx

Dateiname: errorEE.aspx

SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257

Pfad: C:ProgrammeMicrosoftExchange ServerV15FrontEndHttpProxyowaautherrorEE.aspx

DLL

Dateiname: Dll.dll

SHA256:

074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82

45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9

9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0

29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3

c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2

Dateiname: 180000000.dll (Dump zum Speichern von Svchost.exe)

SHA256: 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e

IP

125 [.] 212 [.] 220 [.] 48

5 [.] 180 [.] 61 [.] 17

47 [.] 242 [.] 39 [.] 92

61 [.] 244 [.] 94 [.] 85

86 [.] 48 [.] 6 [.] 69

86 [.] 48 [.] 12 [.] 64

94 [.] 140 [.] 8 [.] 48

94 [.] 140 [.] 8 [.] 113

103 [.] 9 [.] 76 [.] 208

103 [.] 9 [.] 76 [.] 211

104 [.] 244 [.] 79 [.] 6

112 [.] 118 [.] 48 [.] 186

122 [.] 155 [.] 174 [.] 188

125 [.] 212 [.] 241 [.] 134

185 [.] 220 [.] 101 [.] 182

194 [.] 150 [.] 167 [.] 88

212 [.] 119 [.] 34 [.] 11

URL:

hxxp://206[.]188[.]196[.]77:8080/themes.aspx

C2:

137 [.] 184 [.] 67 [.] 33


Ähnliche Artikel – Neuer Zero Day in Exchange Server

“Exchange Server’da Yeni Zero Day” üzerine bir yorum

Kommentar