29 września 2022 r., Microsoft opublikował post na swoim blogu opisujący szczegółową detekcję i mitygację nowych luk w serwerach MS Exchange. Dotyczy to CVE-2022-41040 (Server-Side Request Forgery (SSRF)) i CVE-2022-41082 (Remote Code Execution (RCE)). Pierwsza podatność pozwala zdalnie uruchomić drugą. Atak polega na wysłaniu specyficznego zapytania do serwera Exchange. Pozwala to na uzyskanie dostępu w backendowym komponencie Exchange i przeprowadzenie Remote Code Execution przez PowerShell.
W momencie pisania tego tekstu, Microsoft wypuścił łatkę dotyczącą tej luki bezpieczeństwa, ale szybko pokazano metody jej obejścia. Temat jest dość poważny. Wskazane dziury dostały CVSS 6.3 i 8.8 i dotyczą jednak popularnych i szeroko używanych serwerów.
Microsoft opisuje dokładnie metody detekcji i mitygacji, ale najbardziej rekomenduje po prostu wyłączenie obsługi zdalnego wykonywania kodu PowerShell (przynajmniej dla zwykłych użytkowników). W naszym środowisku odtworzono metody ataku oraz zastosowano mechanizmy obrony. Zespół SOC L1 przeprowadził analizę oraz ThreatHunting z wykorzystaniem naszych systemów bezpieczeństwa.
Aby, wykryć czy nasz system był celem ataku można sprawdzić, czy atakujący nie pozostawili specyficznych plików na serwerze (jest to mało prawdopodobne, ponieważ ustalono, że były one usuwane po skutecznych atakach). Dobrą metodą jest analiza logów i poszukiwanie zapytań do serwera Exchange, zawierających określone kluczowe słowa. Powstały także automatyczne narzędzia, które skanują nasz system w poszukiwania śladów atakujących. Aby się bronić, należy odpowiednio ustawić regułę na module URL Rewrite Rule na serwerze IIS. Wszystkie szczegóły techniczne można znaleźć w poniższych artykułach źródłowych.
Źródło:
Warning: New attack campaign utilized a new 0-day RCE vulnerability on Microsoft Exchange Server
Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server
