Beschrijving
Er zijn twee actief misbruikte 0-Day kwetsbaarheden voor verschillende versies van Microsoft Exchange Server bekend. Een 0-Day kwetsbaarheid is een kwetsbaarheid die onbekend is voor de ontwikkelaar van de betreffende software en waar geen beveiligingsupdate voor beschikbaar is.
De eerste kwetsbaarheid die gekenmerkt wordt als CVE-2022-41040 is een Server-Side Request Forgery (SSRF) kwetsbaarheid die een aanvaller in staat stelt om een onbedoelde functionaliteit van een kwetsbare webapplicatie aan te roepen.
De tweede kwetsbaarheid die gekenmerkt wordt als CVE-2022-41082 stelt een aanvaller in staat om Remote Code Execution (RCE) uit te voeren wanneer deze toegang heeft tot PowerShell.
Belangrijk om te weten is dat een potentiële aanvaller geauthentiseerd op de kwetsbare Exhange Server dient te zijn alvorens de kwetsbaarheden in kwestie kunnen worden misbruikt.
Kwetsbare versies
Onderstaande producten van Microsoft zijn getroffen door de eerdergenoemde kwetsbaarheden:
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
Gebruikers van Microsoft Exchange Online hoeven geen actie te ondernemen.
Oplossing en workarounds
Op het moment van schrijven is er geen beveiligingsupdate beschikbaar. Microsoft heeft kennisgenomen van de betreffende kwetsbaarheden en is bezig met het ontwikkelen van een remedie. Tot die tijd bieden de volgende handelingen bescherming tegen de op dit moment bekende aanvalsmethode:
- Open the IIS Manager.
- Expand the Default Web Site.
- Select Autodiscover.
- In the Feature View, click URL Rewrite.
- In the Actions pane on the right-hand side, click Add Rules.
- Select Request Blocking and click OK.
- Add String “.*autodiscover\.json.*\@.*Powershell.*” (excluding quotes) and click OK.
- Expand the rule and select the rule with the Pattern “.*autodiscover\.json.*\@.*Powershell.*” and click Edit under Conditions.
- Change the condition input from {URL} to {REQUEST_URI}
Volgens Microsoft heeft de URL Rewrite module geen impact op de functionaliteit van Exchange Servers.
Voor een gevisualiseerde weergave van de bovengenoemde handelingen, zie de volgende blog post afkomstig van Microsoft:
Geauthentiseerde aanvallers met toegang tot PowerShell Remoting op kwetsbare Exchange Servers zijn in staat om Remote Code Execution (RCE) uit te voeren door middel van CVE-2022-41082. Door onderstaande poorten bijbehorend aan Remote PowerShell te blokkeren kan een eventuele aanval worden gelimiteerd:
- HTTP: 5985
- HTTPS: 5986
Tevens kan het volgende PowerShell commando worden gebruikt om IIS log bestanden (%SystemDrive%\inetpub\logs\LogFiles folder) te controleren op mogelijke exploitatie:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200
Het is raadzaam om de IIS logging te controleren vanaf augustus 2022.
Indien de IIS logging mogelijke exploitatie aanduidt willen wij u verzoeken om contact op te nemen met het Pinewood Security Operations Center (SOC).
Extra info
Pinewood monitort actief op eventuele verbindingen met IP-adressen die gekenmerkt worden als Indicator of Compromise (IoC).
Bronnen
- https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
- https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
- https://twitter.com/GossiTheDog/status/1575580072961982464
Vragen
Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.