MKD-CIRT National Centre for Computer Incident Response
Актерите за закани ги искористуваат сè уште необјавените грешки zero-days на Microsoft Exchange што овозможуваат далечинско извршување на кодот, според тврдењата на безбедносните истражувачи во виетнамската компанија за сајбер безбедност GTSC, кои први ги забележале и пријавиле нападите.
Напаѓачите го поврзуваат парот zero-days за да ги распоредат Кинеските Chopper web shells на компромитирани сервери за упорност и кражба на податоци, како и странично преместување на други системи на мрежите на жртвите.
„Ранливоста се испостави дека е толку критична што му дозволува на напаѓачот да направи RCE на компромитиран систем“, велат истражувачите.
Искористувањето работи во две фази:
- Барање со сличен формат на ProxyShell ранливост: autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com.
- Употреба на врската погоре за пристап до компонента во задниот дел каде што RCE може да се имплементира.
“Бројот на верзијата на овие сервери на Exchange покажа дека последното ажурирање е веќе инсталирано, така што експлоатацијата со користење на ранливоста на Proxyshell беше невозможна“, велат истражувачите.
MKD-CIRT ги дава следните препораки за привремено ублажување:
Сè додека Мајкрософт не објави безбедносни ажурирања за решавање на двата zero-days, привремено ублажување што би ги блокирало обидите за напад со додавање на ново правило за серверот IIS користејќи го модулот за повторно запишување на URL-то:
- Во Autodiscover на FrontEnd, изберете го табот URL Rewrite, а потоа побарајте блокирање.
- Add string “.*autodiscover\.json.*\@.*Powershell.*“ до патеката за URL.
- Влезна состојба: Изберете {REQUEST_URI}
Препорачуваме сите организации/претпријатија кои користат Microsoft Exchange Server да го проверат, прегледаат и применат горенаведениот привремен лек што е можно поскоро за да се избегнат потенцијални сериозни штети.
Администраторите кои сакаат да проверат дали нивните сервери на Exchange се веќе компромитирани со користење на овој експлоат може да ја извршат следнава команда на PowerShell за да ги скенираат датотеките за евиденција на IIS за индикатори на потенцијални злонамерни активности:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200’
Извор: BleepingComputer
