UPDATE: Pinewood Security Bulletin – Microsoft Exchange 0-Day Kwetsbaarheden
Uit onderzoek is gebleken dat de eerder aanbevolen handelingen die bescherming boden tegen de bekende aanvalsmethode kunnen worden omzeild. Pinewood wil dan ook dringend adviseren om de eerder aangemaakte URL Rewrite te verwijderen en de volgende handelingen uit te voeren:
- Open IIS Manager.
- Select Default Web Site.
- In the Feature View, click URL Rewrite.
- In the Actions pane on the right-hand side, click Add Rule(s)…
- Select Request Blocking and click OK.
- Add the string “.*autodiscover\.json.*Powershell.*” (excluding quotes).
- Select Regular Expression under Using.
- Select Abort Request under How to block and then click OK.
- Expand the rule and select the rule with the pattern .*autodiscover\.json.*Powershell.* and click Edit under Conditions.
- Change the Condition input from {URL} to {REQUEST_URI}
Let op dat het door Microsoft beschikbaar gestelde PowerShell script (EOMTv2.ps1) op het moment van schrijven nog steeds de oude reguliere expressie bevat en daarom geen bescherming biedt.
Het PowerShell script in kwestie is te vinden op de volgende GitHub repository afkomstig van Microsoft:
Daarnaast heeft Microsoft voor alle gebruikers van Exchange Server inmiddels het aanvullende advies uitgebracht om Remote PowerShell uit te zetten voor alle gebruikersaccounts in de organisatie die geen administrator zijn.
Voor meer informatie over het uitzetten van Remote PowerShell per gebruikersaccount of voor een groep gebruikersaccounts, zie de volgende documentatie afkomstig van Microsoft:
Bronnen
- https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
- https://twitter.com/GossiTheDog/status/1576852912877101057
- https://advisories.ncsc.nl/advisory?id=NCSC-2022-0610
Beschrijving
Er zijn twee actief misbruikte 0-Day kwetsbaarheden voor verschillende versies van Microsoft Exchange Server bekend. Een 0-Day kwetsbaarheid is een kwetsbaarheid die onbekend is voor de ontwikkelaar van de betreffende software en waar geen beveiligingsupdate voor beschikbaar is.
De eerste kwetsbaarheid die gekenmerkt wordt als CVE-2022-41040 is een Server-Side Request Forgery (SSRF) kwetsbaarheid die een aanvaller in staat stelt om een onbedoelde functionaliteit van een kwetsbare webapplicatie aan te roepen.
De tweede kwetsbaarheid die gekenmerkt wordt als CVE-2022-41082 stelt een aanvaller in staat om Remote Code Execution (RCE) uit te voeren wanneer deze toegang heeft tot PowerShell.
Belangrijk om te weten is dat een potentiële aanvaller geauthentiseerd op de kwetsbare Exhange Server dient te zijn alvorens de kwetsbaarheden in kwestie kunnen worden misbruikt.
Kwetsbare versies
Onderstaande producten van Microsoft zijn getroffen door de eerdergenoemde kwetsbaarheden:
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
Gebruikers van Microsoft Exchange Online hoeven geen actie te ondernemen.
Oplossing en workarounds
Op het moment van schrijven is er geen beveiligingsupdate beschikbaar. Microsoft heeft kennisgenomen van de betreffende kwetsbaarheden en is bezig met het ontwikkelen van een remedie. Tot die tijd bieden de volgende handelingen bescherming tegen de op dit moment bekende aanvalsmethode:
- Open IIS Manager.
- Select Default Web Site.
- In the Feature View, click URL Rewrite.
- In the Actions pane on the right-hand side, click Add Rule(s)…
- Select Request Blocking and click OK.
- Add the string “.*autodiscover\.json.*Powershell.*” (excluding quotes).
- Select Regular Expression under Using.
- Select Abort Request under How to block and then click OK.
- Expand the rule and select the rule with the pattern .*autodiscover\.json.*Powershell.* and click Edit under Conditions.
- Change the Condition input from {URL} to {REQUEST_URI}
Tot op heden heeft de URL Rewrite module geen impact op de functionaliteit van Exchange Servers.
Let op dat het door Microsoft beschikbaar gestelde PowerShell script (EOMTv2.ps1) op het moment van schrijven nog steeds de oude reguliere expressie bevat en daarom geen bescherming biedt.
Het PowerShell script in kwestie is te vinden op de volgende GitHub repository afkomstig van Microsoft:
Geauthentiseerde aanvallers met toegang tot PowerShell Remoting op kwetsbare Exchange Servers zijn in staat om Remote Code Execution (RCE) uit te voeren door middel van CVE-2022-41082. Door onderstaande poorten bijbehorend aan Remote PowerShell te blokkeren kan een eventuele aanval worden gelimiteerd:
- HTTP: 5985
- HTTPS: 5986
Microsoft heeft inmiddels voor alle gebruikers van Exchange Server het aanvullende advies uitgebracht om Remote PowerShell uit te zetten voor alle gebruikersaccounts in de organisatie die geen administrator zijn.
Voor meer informatie over het uitzetten van Remote PowerShell per gebruikersaccount of voor een groep gebruikersaccounts, zie de volgende documentatie afkomstig van Microsoft:
Tevens kan het volgende PowerShell commando worden gebruikt om IIS log bestanden (%SystemDrive%\inetpub\logs\LogFiles folder) te controleren op mogelijke exploitatie:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200
Het is raadzaam om de IIS logging te controleren vanaf augustus 2022.
Indien de IIS logging mogelijke exploitatie aanduidt willen wij u verzoeken om contact op te nemen met het Pinewood Security Operations Center (SOC).
Extra info
Pinewood monitort actief op eventuele verbindingen met IP-adressen die gekenmerkt worden als Indicator of Compromise (IoC).
Bronnen
- https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
- https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
- https://twitter.com/GossiTheDog/status/1575580072961982464
- https://twitter.com/GossiTheDog/status/1576852912877101057
- https://advisories.ncsc.nl/advisory?id=NCSC-2022-0610
Vragen
Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.