Microsoft, Microsoft Exchange Server’daki (CVE-2022-41040 ve CVE-2022-41082) iki yeni sıfırıncı gün güvenlik açığından “sınırlı, hedefli saldırılarda” yararlanıldığını onayladı. Resmi bir yama olmadığında, kuruluşlar ortamlarını istismar belirtileri açısından kontrol etmeli ve ardından acil durum azaltma adımlarını uygulamalıdır.
- CVE-2022-41040 — Kimliği doğrulanmış saldırganların etkilenen makine gibi davranarak isteklerde bulunmasına olanak tanıyan sunucu tarafı istek sahteciliği
- CVE-2022-41082 — Kimliği doğrulanmış saldırganların keyfi PowerShell yürütmesine olanak tanıyan Uzaktan Kod Yürütme.
“Şu anda, vahşi doğada bilinen hiçbir kavram kanıtı komut dosyası veya sömürü aracı yok” John Hammond’u yazdı, Huntress ile bir tehdit avcısı. Ancak, bu sadece saatin işliyor olduğu anlamına gelir. Güvenlik açığına yeniden odaklanılmasıyla, yeni istismarlar veya kavram kanıtı komut dosyalarının kullanıma sunulması an meselesidir.
İstismarı Tespit Etme Adımları
İlk güvenlik açığı – sunucu tarafı istek sahteciliği hatası – ikincisini – uzaktan kod yürütme güvenlik açığı – elde etmek için kullanılabilir, ancak saldırı vektörü, saldırganın sunucuda zaten kimlik doğrulaması olmasını gerektirir.
GTSC’ye göre kuruluşlar, aşağıdaki PowerShell komutunu çalıştırarak Exchange Sunucularının zaten istismar edilip edilmediğini kontrol edebilir:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*Autodiscover\.json.*\@.*200
GTSC ayrıca sömürü belirtileri aramak için bir araç geliştirdi ve GitHub’da yayınladı. Bu liste, diğer şirketler araçlarını yayınladıkça güncellenecektir.
Microsoft’a Özel Araçlar
- Microsoft’a göre, Microsoft Sentinel’de bu özel tehdidi aramak için kullanılabilecek sorgular vardır. Böyle bir sorgu, Exchange SSRF Otomatik Bulma ProxyShell ProxyShell’e yanıt olarak oluşturulan algılama. Yeni Exchange Sunucusu Şüpheli Dosya İndirmeleri sorgu, özellikle IIS günlüklerinde şüpheli indirmeleri arar.
- Olası web kabuğu yüklemesi, olası IIS web kabuğu, şüpheli Exchange İşlemi Yürütme, Exchange Sunucusu güvenlik açıklarından olası yararlanma, bir web kabuğunu gösteren şüpheli işlemler ve olası IIS ihlali ile ilgili Microsoft Defender for Endpoint’ten uyarılar, iki güvenlik açığı aracılığıyla ele geçirildi.
- Microsoft Defender, istismar sonrası girişimleri şu şekilde algılayacaktır: Arka kapı: ASP/Webshell.Y ve Arka kapı:Win32/RewriteHttp.A.
Bazı güvenlik sağlayıcıları da istismarı tespit etmek için ürünlerinde güncellemeler duyurdu.
Huntress, yaklaşık 4.500 Exchange sunucusunu izlediğini ve şu anda bu sunucularda olası istismar belirtileri için bu sunucuları araştırdığını söyledi. Hammond, “Şu anda Huntress, ortaklarımızın cihazlarında herhangi bir istismar veya uzlaşma belirtisi görmedi” dedi.
Atılacak Etki Azaltma Adımları
Microsoft, bir düzeltmeyi hızlı takip edeceğine söz verdi. O zamana kadar kuruluşlar, ağlarını korumak için Exchange Server’a aşağıdaki azaltımları uygulamalıdır.
Microsoft’a göre, şirket içi Microsoft Exchange müşterileri, IIS sunucusundaki URL Yeniden Yazma Kuralı modülü aracılığıyla yeni kurallar uygulamalıdır.
- IIS Yöneticisi -> Varsayılan Web Sitesi -> Otomatik Bulma -> URL Yeniden Yazma -> Eylemler’de, İstek Engelleme’yi seçin ve aşağıdaki dizeyi URL Yoluna ekleyin:
.*autodiscover\.json.*\@.*Powershell.*
Koşul girişi REQUEST_URI olarak ayarlanmalıdır
- Remote PowerShell için kullanıldığı için 5985 (HTTP) ve 5986 (HTTPS) bağlantı noktalarını engelleyin.
Exchange Online kullanıyorsanız:
Microsoft, Exchange Online müşterilerinin etkilenmediğini ve herhangi bir işlem yapmasına gerek olmadığını söyledi. Bununla birlikte, Exchange Online kullanan kuruluşların, şirket içi ve bulut sistemlerinin bir karışımı olan hibrit Exchange ortamları olması muhtemeldir. Şirket içi sunucuları korumak için yukarıdaki yönergeleri izlemelidirler.