Upozorňujeme na zranitelnost Microsoft Exchange Server CVE-2022-41040 (CVSSv3 6.3) CVE-2022-41082 (CVSSv3 8.8), kterou je možné zneužít vzdáleným spuštěním kódu na severu přístupném v síti nebo z internetu s autentizací. Zranitelnost se týká verzí 2010, 2013, 2016 a 2019. Uživatelé cloudových služeb Exchange Online nejsou zranitelností zasaženi.
Proof-of-concept ani exploit zatím nebyl zveřejněn, nicméně v nejbližších dnech hrozí jejich zveřejnění, tudíž by docházelo k plošným útokům.
Mitigace
Není potřeba v případě, kdy neběží Exchange Server on-premise.
Pokud provozujete on-premise Exchange server přístupný z internetu, nebo jej máte nasazený v hybridním režimu, doporučujeme neprodleně prověřit stav a zavést ochranná opatření:
- Ujistěte se, zda máte nejaktuálnější verzi Microsoft Exchange Server.
- Zaveďte potřebná opatření:
- Nastavte přístupová pravidla v IIS modulu URL Rewrite pro blokaci požadavků na "autodiscover.json" dle instrukcí Microsoft:
- Zablokujte na serveru porty pro službu Remote Powershell (5985, 5986).
- Prověřte indikátory kompromitace v seznamu níže, zejména je potřeba prověřit logy Exchange server na přístupy obsahující řetězec "'powershell.*autodiscover\.json.*\@.*200".
- Lze provést např. příkazem Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200
- Prověřte přítomnost nelegitimních ASPX souborů sloužící jako webshell v adresářích:
- C:\ProgramFiles\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth
- C:\inetpub\wwwroot\aspnet_client\
- Upozorňujeme, že webshell se může potenciálně nacházet v jakémkoliv jiném adresáři, jedná se pouze o potvrzené lokace používané útočníkem.
- Prověřte nestandardní aktivitu na Exchange serveru a akce uvnitř sítě, zejména zakládání či změny privilegovaných účtů, zvýšený objem odchozího provozu, skenování či komunikace na jiné stroje v síti.
Proveďte kontrolu indikátorů alespoň od srpna 2022. V případě odhalení kompromitace serveru nebo indikátoru nás kontaktujte na adrese cert.incident@nukib.cz.
Indikátory kompromitace:
Webshell:
- File Name: pxh4HG1v.ashx
Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1
Path: C:\Program Files\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx
- File Name: RedirSuiteServiceProxy.aspx
Hash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5
Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx
- File Name: RedirSuiteServiceProxy.aspx
Hash (SHA256): b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca
Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx
- File Name: Xml.ashx
Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1
Path: Xml.ashx
- Filename: errorEE.aspx
SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257
Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx
DLL:
- File name: Dll.dll
SHA256:
074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82
45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9
9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0
29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3
c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2
- File name: 180000000.dll
SHA256: 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e
IP:
- 125[.]212[.]220[.]48
- 5[.]180[.]61[.]17
- 47[.]242[.]39[.]92
- 61[.]244[.]94[.]85
- 86[.]48[.]6[.]69
- 86[.]48[.]12[.]64
- 94[.]140[.]8[.]48
- 94[.]140[.]8[.]113
- 103[.]9[.]76[.]208
- 103[.]9[.]76[.]211
- 104[.]244[.]79[.]6
- 112[.]118[.]48[.]186
- 122[.]155[.]174[.]188
- 125[.]212[.]241[.]134
- 185[.]220[.]101[.]182
- 194[.]150[.]167[.]88
- 212[.]119[.]34[.]11
URL:
- hxxp://206[.]188[.]196[.]77:8080/themes.aspx
C2:
- 137[.]184[.]67[.]33
Zdroj: GTSC
Odkazy:
New 0-Day Vulnerabilities Found in Microsoft Exchange (huntress.com)