Update
Microsoft heeft het advies uitgebracht om de eerder opgestelde URL Rewrite aan te passen, nadat ook hier uit onderzoek is gebleken dat deze kon worden omzeild. Waar de vorige update van het security bulletin een fout in de genoemde reguliere expressie betrof gaat het ditmaal om de eerder aanbevolen Condition input. Pinewood wil dan ook dringend adviseren om de eerder aangemaakte URL Rewrite te verwijderen en de volgende handelingen uit te voeren:
- Open IIS Manager.
- Select Default Web Site.
- In the Feature View, click URL Rewrite.
- In the Actions pane on the right-hand side, click Add Rule(s)…
- Select Request Blocking and click OK.
- Add the string “ .*autodiscover\.json.*Powershell.*” (excluding quotes).
- Select Regular Expression under Using.
- Select Abort Request under How to block and then click OK.
- Expand the rule and select the rule with the pattern: .*autodiscover\.json.*Powershell.* and click Edit under Conditions.
- Change the Condition input from {URL} to {UrlDecode:{REQUEST_URI}} and then click OK.
Bronnen
- https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
- https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
Beschrijving
Er zijn twee actief misbruikte 0-Day kwetsbaarheden voor verschillende versies van Microsoft Exchange Server bekend. Een 0-Day kwetsbaarheid is een kwetsbaarheid die onbekend is voor de ontwikkelaar van de betreffende software en waar geen beveiligingsupdate voor beschikbaar is.
De eerste kwetsbaarheid die gekenmerkt wordt als CVE-2022-41040 is een Server-Side Request Forgery (SSRF) kwetsbaarheid die een aanvaller in staat stelt om een onbedoelde functionaliteit van een kwetsbare webapplicatie aan te roepen.
De tweede kwetsbaarheid die gekenmerkt wordt als CVE-2022-41082 stelt een aanvaller in staat om Remote Code Execution (RCE) uit te voeren wanneer deze toegang heeft tot PowerShell.
Belangrijk om te weten is dat een potentiële aanvaller geauthentiseerd op de kwetsbare Exhange Server dient te zijn alvorens de kwetsbaarheden in kwestie kunnen worden misbruikt.
Kwetsbare versies
Onderstaande producten van Microsoft zijn getroffen door de eerdergenoemde kwetsbaarheden:
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
Gebruikers van Microsoft Exchange Online hoeven geen actie te ondernemen.
Oplossing en workarounds
Op het moment van schrijven is er geen beveiligingsupdate beschikbaar. Microsoft heeft kennisgenomen van de betreffende kwetsbaarheden en is bezig met het ontwikkelen van een remedie. Tot die tijd bieden de volgende handelingen bescherming tegen de op dit moment bekende aanvalsmethode:
- Open IIS Manager.
- Select Default Web Site.
- In the Feature View, click URL Rewrite.
- In the Actions pane on the right-hand side, click Add Rule(s)…
- Select Request Blocking and click OK.
- Add the string “.*autodiscover\.json.*Powershell.*” (excluding quotes).
- Select Regular Expression under Using.
- Select Abort Request under How to block and then click OK.
- Expand the rule and select the rule with the pattern: .*autodiscover\.json.*Powershell.* and click Edit under Conditions.
- Change the Condition input from {URL} to {UrlDecode:{REQUEST_URI}} and then click OK.
Tot op heden heeft de URL Rewrite module geen impact op de functionaliteit van Exchange Servers.
Geauthentiseerde aanvallers met toegang tot PowerShell Remoting op kwetsbare Exchange Servers zijn in staat om Remote Code Execution (RCE) uit te voeren door middel van CVE-2022-41082. Door onderstaande poorten bijbehorend aan Remote PowerShell te blokkeren kan een eventuele aanval worden gelimiteerd:
- HTTP: 5985
- HTTPS: 5986
Microsoft heeft inmiddels voor alle gebruikers van Exchange Server het aanvullende advies uitgebracht om Remote PowerShell uit te zetten voor alle gebruikersaccounts in de organisatie die geen administrator zijn.
Voor meer informatie over het uitzetten van Remote PowerShell per gebruikersaccount of voor een groep gebruikersaccounts, zie de volgende documentatie afkomstig van Microsoft:
Tevens kan het volgende PowerShell commando worden gebruikt om IIS log bestanden (%SystemDrive%\inetpub\logs\LogFiles folder) te controleren op mogelijke exploitatie:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200
Het is raadzaam om de IIS logging te controleren vanaf augustus 2022.
Indien de IIS logging mogelijke exploitatie aanduidt willen wij u verzoeken om contact op te nemen met het Pinewood Security Operations Center (SOC).
Extra info
Pinewood monitort actief op eventuele verbindingen met IP-adressen die gekenmerkt worden als Indicator of Compromise (IoC).
Bronnen
- https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
- https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
- https://twitter.com/GossiTheDog/status/1575580072961982464
- https://twitter.com/GossiTheDog/status/1576852912877101057
- https://advisories.ncsc.nl/advisory?id=NCSC-2022-0610
Vragen
Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.