Nenhuma correção permanente para as vulnerabilidades do Exchange Server está disponível ainda, mas outras etapas podem reduzir o risco.
No momento, os invasores estão explorando duas vulnerabilidades não corrigidas para comprometer remotamente os servidores Microsoft Exchange locais. A Microsoft confirmou as falhas no final da semana passada e publicou conselhos de mitigação até que um patch completo possa ser desenvolvido, mas de acordo com relatórios, a mitigação proposta pode ser facilmente contornada.
As novas vulnerabilidades foram descobertas no início de agosto por uma empresa de segurança vietnamita chamada GTSC, enquanto realizava monitoramento de segurança e resposta a incidentes para um cliente cujos servidores foram atacados. Inicialmente, os pesquisadores do GTSC pensaram que poderiam estar lidando com uma exploração do ProxyShell com base nas solicitações maliciosas vistas nos logs do servidor que pareciam semelhantes. O ProxyShell é um ataque que encadeia três vulnerabilidades do Exchange e foi corrigido no ano passado.
No entanto, a equipe de resposta a incidentes percebeu rapidamente que os servidores Exchange comprometidos, onde os invasores obtiveram recursos de execução remota de código, estavam totalmente atualizados, o que significava que não poderia ser o ProxyShell. Depois que a engenharia reversa confirmou que eles estavam lidando com vulnerabilidades anteriormente desconhecidas, eles enviaram um relatório ao programa Zero Day Initiative (ZDI) da Trend Micro, cujos analistas os confirmaram e os compartilharam com a Microsoft.
O novo ataque explora duas vulnerabilidades
A nova cadeia de ataque explora duas novas falhas que a Microsoft agora rastreia como CVE-2022-41040 e CVE-2022-41082. O primeiro é um problema de falsificação de solicitação do lado do servidor (SSRF) que permite que um invasor autenticado acione a segunda vulnerabilidade. Isso, por sua vez, permite a execução remota de código via PowerShell. As falhas afetam o Microsoft Exchange Server 2013, Exchange Server 2016 e Exchange Server 2019, enquanto o Microsoft Exchange Online já possui detecções e mitigações em vigor. “Deve-se notar que o acesso autenticado ao Exchange Server vulnerável é necessário para explorar com sucesso qualquer vulnerabilidade”, disse a Microsoft em seu comunicado.
Nos ataques vistos pelo GTSC em vários clientes, os invasores usaram o exploit para implantar web shells – scripts de backdoor – disfarçados de arquivos legítimos do Exchange, como RedirSuiteServiceProxy.aspx. Eles então começaram a implantar malware de despejo de credenciais para roubar credenciais dos servidores comprometidos. Com base na escolha de web shells e outros artefatos deixados para trás, os pesquisadores suspeitam que os invasores sejam chineses.
De acordo com um relatório separado da Cisco Talos, os invasores usaram o Antsword, um popular shell da web de código aberto baseado no idioma chinês; SharPyShell, um web shell baseado em ASP.NET; e China Chopper.
A mitigação da Microsoft para Zero-Day do Exchange Server pode ser ignorada
A mitigação proposta pela Microsoft é bloquear os padrões de ataque conhecidos usando o mecanismo de reescrita de URL disponível em “IIS Manager -> Default Web Site -> URL Rewrite -> Actions”. A empresa forneceu uma regra de bloqueio e escreveu um script do PowerShell para automatizar a implantação.
No entanto, um pesquisador de segurança vietnamita com o Twitter Janggggg, apontou na segunda-feira que a regra de bloqueio pode ser facilmente contornada. Isso foi confirmado por outros pesquisadores de segurança, incluindo o ex-analista do CERT/CC Will Dormann, que escreveu:
“O ‘@’ nas mitigações de bloco de URL “.autodiscover.json.\@.Powershell.” recomendadas pela Microsoft para CVE-2022-41040 CVE-2022-41082 parece desnecessariamente preciso e, portanto, insuficiente. Provavelmente tente “.autodiscover.json.Powershell.*” em vez disso.”
Além dessa regra de bloqueio, a Microsoft também recomenda que as organizações desabilitem o acesso remoto ao PowerShell para usuários não administradores porque, sem os invasores terem a capacidade de acessar o PowerShell de uma conta comprometida, esse ataque seria ineficaz. Isso ainda deixa os usuários administradores vulneráveis, mas se um usuário administrador for comprometido, os invasores já terão muito poder.
A Microsoft fornece instruções sobre como desabilitar o acesso remoto ao PowerShell para usuários em um artigo separado, bem como orientações de detecção e caça a ameaças para os ataques observados no momento. Os relatórios GTSC e Talos também contêm indicadores de comprometimento.
Fonte: www.csoonline.com
Posts relacionados: Bug Zero-Day do Google Chrome é explorado constantemente / Google lança atualização urgente do Chrome para corrigir falha de Zero Day e Microsoft confirma outro Zero Day no Print-Spooler do Windows