Microsoft, araştırmacıların ilk kılavuzun kolayca atlanabileceğini bulmasının ardından, Exchange Server teknolojisindeki yakın zamanda açıklanan ve aktif olarak yararlanılan iki sıfır gün güvenlik açığı için azaltma önlemlerini bugün güncelledi.
Microsoft’un iki güvenlik açığı (CVE-2022-41040 ve CVE-2022-41082) için orijinal azaltması, IIS Sunucusundaki URL Yeniden Yazma Modülünü kullanarak belirli bir URL yoluna bir engelleme kuralı uygulamaktı. Şirkete göre, “.*autodiscover\.json.*\@.*Powershell.*” dizesini eklemek, güvenlik açıklarına karşı bilinen saldırı modellerini engellemeye yardımcı olacaktır.
Ancak güvenlik araştırmacıları – Vietnam merkezli güvenlik araştırmacısı dahil Jang, Kevin Beaumont ve diğerleri – saldırganların güvenlik açıklarından yararlanmak için Microsoft tarafından önerilen azaltmayı kolayca atlayabileceğini belirtmişti. CVE-2022-41040 için Microsoft tarafından önerilen “.*autodiscover\.json.*\@.*Powershell.*” URL bloğundaki ‘@’ [and] CVE-2022-41082 gereksiz yere kesin ve bu nedenle yetersiz görünüyorgüvenlik araştırmacısı Will Dormann bir tweet’te “Muhtemelen “.*autodiscover\.json.*Powershell.*” deneyin” diye yazdı.
Carnegie Mellon Üniversitesi’ndeki CERT Koordinasyon Merkezi, güvenlik açıkları hakkındaki notunda tavsiyeyi tekrarlıyor gibi görünüyordu. “Önerilen blok deseni”.*autodiscover\.json.*Powershell.* (hariç @ sembolü) bilinen varyantlarını önlemek için düzenli bir ifade olarak #ProxyNotShell saldırılar,” dedi CERT.
Güncellenmiş Rehberlik
Salı günü, konuyla ilgili bir günden fazla sessiz kaldıktan sonra, Microsoft rehberliğini güncelledi güvenlik araştırmacılarının önerdiği değişikliği yansıtmak için (.*autodiscover\.json.*Powershell.*). Microsoft, “URL Yeniden Yazma kuralını iyileştiren Azaltıcılar bölümünde önemli güncellemeler yapıldı” dedi. “Müşteriler Azaltmalar bölümünü gözden geçirmeli ve bu güncellenmiş etki azaltma seçeneklerinden birini uygulamalıdır.”
Engelleme kuralı, Microsoft’un Exchange Acil Durum Azaltma Hizmetini etkinleştiren kuruluşlar için otomatik olarak güncellendi ve etkinleştirildi. Microsoft ayrıca kuruluşların URL Yeniden Yazma azaltma önlemini etkinleştirmek için kullanabileceği bir komut dosyasını ve azaltmayı manuel olarak uygulamak isteyen kuruluşlar için kuralın nasıl uygulanacağına ilişkin adım adım kılavuzunu güncelledi. Microsoft ayrıca, Exchange Server müşterisinin, yönetici olmayan kullanıcılar için uzaktan PowerShell erişimini devre dışı bırakmasını şiddetle tavsiye etmiştir.
Microsoft, Exchange Server’da Ağustos 2022’den bu yana sınırlı sayıda hedefli saldırıda kullanıldığını söylediği iki güvenlik açığı olan CVE-2022-41040 ve CVE-2022-41082’nin kamuya açıklanmasının ardından ilk olarak 30 Eylül’de azaltma kılavuzunu yayınladı. kusurlar, Microsoft Exchange Server 2013, 2016 ve 2019’un Internet’e maruz kalan şirket içi sürümlerini etkiler. ABD Siber Güvenlik ve Altyapı Ajansı (CISA), güvenlik açıklarını saldırganlara bir yol vermek olarak tanımladı. etkilenen bir sistemin kontrolünü ele geçirmek.
A Shodan arama motorundan cihazların haritası Beaumont’un bu hafta oluşturduğu güvenlik araştırmacısı, dünya genelinde Exchange Server’ın savunmasız sürümlerini çalıştırıyor gibi görünen on binlerce sistemi gösteriyor.
Microsoft, Microsoft Exchange Online müşterilerinin korunduğunu ve bu nedenle herhangi bir işlem yapması gerekmediğini söyledi – Beaumont’un meydan okuduğu bir iddia. “Exchange Online olsanız bile, hibrit bir sunucuyu taşıdıysanız ve tuttuysanız (çok yakın zamana kadar bir gereklilik) bundan etkileniyorsunuz” Beaumont kaydetti. Beaumont, güvenlik açıklarını “ProxyNotShell” olarak etiketledi, çünkü yararlanma süreci ve Microsoft’un azaltmaları, geçen yılki güvenlik açıklarıyla ilişkili olanlara çok benziyor. ProxyShell güvenlik açıkları Exchange Server’da.
Microsoft şu anda iki güvenlik açığı için bir düzeltme üzerinde çalışıyor.
Ortak Sorun
Contrast Security CISO’su David Lindner, “Düzeltmelerin tamamlanmaması yaygın bir durumdur” diyor. “Baypasları doğrulamadık, ancak gerçek kök neden çözülene kadar açıktan yararlanma ve düzeltme arasında bir ileri bir geri hareket olması yaygındır.” Örnek olarak Apache’nin Log4j günlük kaydı çerçevesindeki Log4Shell güvenlik açığı için ilk düzeltmelere işaret ediyor. “Birkaç hafta boyunca, sorunun kökünü çözmeye çalışan çok sayıda yorum vardı” diye belirtiyor.
CVE-2022-41040
saldırganların güvenliği ihlal edilmiş bir sistemde ayrıcalıkları yükseltmesine olanak tanıyan bir sunucu taraflı istek sahteciliği (SSRF) kusurudur ve CVE-2022-41082
PowerShell, saldırgan tarafından uzaktan erişilebilir olduğunda bir uzaktan kod yürütme kusurudur. Microsoft bir tespit ettiğini söyledi tek tehdit aktörü CVE-2022-41082’yi uzaktan tetiklemek için CVE-2022-41040’ı kullanmak ve güvenlik açığı bulunan sistemlere, veri çalmalarını ve Active Directory keşiflerini gerçekleştirmelerini sağlayan Chopper adlı bir Web kabuğu yüklemek. Chopper, daha önce Çinli tehdit aktörleriyle ilişkilendirilmiş bir Web kabuğudur.
Kusurlar, Microsoft’un gözlemlediği tehdit aktöründe olduğu gibi bir saldırıda birbirine zincirlenebilir veya ayrı olarak kullanılabilir. Ancak Microsoft, her iki durumda da, güvenlik açıklarından yararlanmak için yalnızca standart bir kullanıcı düzeyinde olsa bile bir saldırganın kimliğinin doğrulanması gerektiğini söyledi. Singapur merkezli güvenlik firması GTSC, iki kusuru keşfetti ve Trend Micro’nun Zero Day Initiative ile koordineli olarak, hataları Microsoft’a bildirdi.