Microsoft Exchange Server多个0Day漏洞安全风险通告第六次更新

admin
admin
admin
138876
文章
114
评论
2023年1月29日18:16:12评论43 views字数 7330阅读24分26秒阅读模式
Microsoft Exchange Server多个0Day漏洞安全风险通告第六次更新

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



近日,奇安信CERT监测到GTSC SOC 团队发布博客,披露了Microsoft Exchange Server中的两个0Day漏洞,包括:Microsoft Exchange Server权限提升漏洞(CVE-2022-41040)和Microsoft Exchange Server远程代码执行漏洞(CVE-2022-41082)。经过身份验证的远程攻击者可使用相关漏洞利用链在目标系统上执行任意代码。目前,这两个漏洞已被检测到在野利用。鉴于这些漏洞影响较大,微软官方已发布安全补丁,奇安信CERT强烈建议客户尽快修复漏洞。

本次更新内容:

监测到微软发布安全补丁,更新处置建议。


漏洞名称

Microsoft Exchange Server权限提升漏洞

公开时间

2022-09-30

更新时间

2022-10-01

CVE编号

CVE-2022-41040

其他编号

QVD-2022-26556

威胁类型

权限提升

技术类型

服务端请求伪造

厂商

Microsoft

产品

Exchange Server

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

已发现

未公开

漏洞描述

Microsoft Exchange Server 存在权限提升漏洞,经过身份认证的远程攻击者可利用此漏洞绕过相关安全特性,获得在系统上下文中运行 PowerShell 的权限。配合其他漏洞可对目标发起进一步利用,实现任意代码执行。

影响版本

Microsoft Exchange Server 2016 Cumulative Update 23

Microsoft Exchange Server 2019 Cumulative Update 12

Microsoft Exchange Server 2019 Cumulative Update 11

Microsoft Exchange Server 2016 Cumulative Update 22

Microsoft Exchange Server 2013 Cumulative Update 23

其他受影响组件


漏洞名称

Microsoft Exchange Server远程代码执行漏洞

公开时间

2022-09-30

更新时间

2022-10-01

CVE编号

CVE-2022-41082

其他编号

QVD-2022-26557

威胁类型

代码执行

技术类型

数据验证不恰当

厂商

Microsoft

产品

Exchange Server

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

已发现

未公开

漏洞描述

Microsoft Exchange Server 存在远程代码执行漏洞,经过身份验证的攻击者可利用此漏洞在目标系统上执行任意代码。

影响版本

Microsoft Exchange Server 2016 Cumulative Update 23

Microsoft Exchange Server 2019 Cumulative Update 12

Microsoft Exchange Server 2019 Cumulative Update 11

Microsoft Exchange Server 2016 Cumulative Update 22

Microsoft Exchange Server 2013 Cumulative Update 23

其他受影响组件



威胁评估

漏洞名称

Microsoft   Exchange Server权限提升漏洞

CVE编号

CVE-2022-41040

其他编号

QVD-2022-26556

CVSS 3.1评级

高危

CVSS 3.1分数

8.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

影响范围(S

机密性影响(C

未改变

完整性影响(I

可用性影响(A

危害描述

经过身份认证的远程攻击者可利用此漏洞绕过相关安全特性,配合其他漏洞可对目标发起进一步利用,实现任意代码执行。





漏洞名称

Microsoft   Exchange Server远程代码执行漏洞

CVE编号

CVE-2022-41082

其他编号

QVD-2022-26557

CVSS 3.1评级

高危

CVSS 3.1分数

8.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

影响范围(S

机密性影响(C

未改变

完整性影响(I

可用性影响(A

危害描述

具有执行PowerShell权限的远程攻击者可利用此漏洞在目标系统上执行任意代码。此漏洞可配合CVE-2022-41040 Microsoft Exchange Server权限提升漏洞使用。






处置建议

微软已于11月发布此漏洞受影响版本的安全补丁,强烈建议受影响的用户尽快安装安全补丁进行防护。建议受影响用户通过以下链接进行手动更新:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082


检测方案:

一、使用PowerShell命令
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover.json.*@.*200'
二、使用 NCSE0Scanner 检测工具
GTSC 基于exploit签名开发了扫描 IIS 日志文件的工具,相比 PowerShell,该工具搜索时间更短。以下为工具下载链接:
https://github.com/ncsgroupvn/NCSE0Scanner
三、使用Microsoft Defender for Endpoint
用户可启用 Microsoft Defender 防病毒以检测与此次在野利用漏洞相关的 Web Shell 恶意软件。
详情可参考:https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server
四、入侵指标 (IOC)
GTSC 安全研究人员还提供了一些可用于识别感染的入侵指标 (IOC),如下:
Webshell:
File Name: pxh4HG1v.ashxHash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1Path: C:Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyowaauthpxh4HG1v.ashxFile Name: RedirSuiteServiceProxy.aspxHash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5Path: C:Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyowaauthRedirSuiteServiceProxy.aspxFile Name: RedirSuiteServiceProxy.aspxHash (SHA256): b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca

Path: C:Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyowaauthRedirSuiteServiceProxy.aspxFile Name: Xml.ashxHash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1Path: Xml.ashxFilename: errorEE.aspxSHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257Path: C:Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyowaautherrorEE.aspx

DLL:
File name: Dll.dllSHA256:074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d8245c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a99ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c029b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2File name: 180000000.dll (Dump từ tiến trình Svchost.exe)SHA256: 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e

IP:
125[.]212[.]220[.]485[.]180[.]61[.]1747[.]242[.]39[.]9261[.]244[.]94[.]8586[.]48[.]6[.]6986[.]48[.]12[.]6494[.]140[.]8[.]4894[.]140[.]8[.]113103[.]9[.]76[.]208103[.]9[.]76[.]211104[.]244[.]79[.]6112[.]118[.]48[.]186122[.]155[.]174[.]188125[.]212[.]241[.]134185[.]220[.]101[.]182194[.]150[.]167[.]88212[.]119[.]34[.]11

URL:
hxxp://206[.]188[.]196[.]77:8080/themes.aspx

C2:
137[.]184[.]67[.]33
更多细节可参考:https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html。


缓解方案:

一、 在 IIS 服务器中添加新的 URL 重写规则
1)启用Exchange 紧急缓解服务 (EEMS)
对于启用了 Exchange 紧急缓解服务 (EEMS) 的客户,Microsoft 发布了适用于 Exchange Server 2016 和 Exchange Server 2019 的 URL 重写缓解措施。该服务会自动启用缓解措施并更新URL重写规则。有关Exchange 紧急缓解服务详情可参考:
https://techcommunity.microsoft.com/t5/exchange-team-blog/new-security-feature-in-september-2021-cumulative-update-for/ba-p/2783155
2)使用EOMTv2工具
Microsoft 为 URL 重写缓解步骤创建了脚本工具 EOMTv2,如果没有安装 IIS URL 重写模块,脚本会自动下载并安装该模块。
工具链接:https://aka.ms/EOMTv2
1.使用方法:.EOMTv2.ps1

Microsoft Exchange Server多个0Day漏洞安全风险通告第六次更新

2. 回滚 EOMTv2 缓解措施:.EOMTv2.ps1 -Rollbackmitigation

Microsoft Exchange Server多个0Day漏洞安全风险通告第六次更新

3)手动配置
1. 打开 IIS 管理器
2. 选择Default Web Site(默认网站)
3. 在功能视图中选择 URL 重写

Microsoft Exchange Server多个0Day漏洞安全风险通告第六次更新

4. 在右侧的操作窗格中,单击添加规则,或右键选择添加规则 

Microsoft Exchange Server多个0Day漏洞安全风险通告第六次更新

5. 选择请求阻止并单击确定

Microsoft Exchange Server多个0Day漏洞安全风险通告第六次更新

6. 添加字符串”(?=.*autodiscover)(?=.*powershell)”(不包括引号)
7. 使用处选择正则表达式
8. 阻止方式处选择中止请求,然后单击确定

Microsoft Exchange Server多个0Day漏洞安全风险通告第六次更新

9. 展开规则并选择模式为”(?=.*autodiscover)(?=.*powershell)”的规则,然后单击右侧条件下的编辑,或右键选择条件 -> 编辑 

Microsoft Exchange Server多个0Day漏洞安全风险通告第六次更新

10. 将条件输入由 {URL} 更改为 {UrlDecode:{REQUEST_URI}},点击“确定” 

Microsoft Exchange Server多个0Day漏洞安全风险通告第六次更新

注意:如果需要更改任何规则,最好删除并重新创建
影响:如果按照建议安装 URL Rewrite,对 Exchange 功能没有已知影响
参考:https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

二、禁止非管理员用户使用远程PowerShell访问
微软强烈建议Exchange Server用户为组织中的非管理员用户禁用远程 PowerShell访问。
关于如何禁用单用户或多用户远程PoweShell 访问可参考以下链接:
https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers


产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全面支持对Microsoft Exchange Server 多个 0Day 漏洞的防护。


奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:7636,建议用户尽快升级检测规则库至2210011240。


奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.1001.13572或以上版本。规则ID及规则名称:0x100212F9,Microsoft Exchange Server 远程代码执行漏洞(CVE-2022-41040/41082) 。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。


参考资料

[1]https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

[2]https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

[3]https://www.zerodayinitiative.com/advisories/upcoming/

[4]https://www.bleepingcomputer.com/news/security/new-microsoft-exchange-zero-days-actively-exploited-in-attacks/

[5]https://www.fortinet.com/blog/threat-research/microsoft-exchange-zero-day-vulnerability-updates

[6]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082

[7]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040

[8]https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers

[9]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082

[10]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040



时间线

2022年9月30日,奇安信 CERT发布安全风险通告;

2022年10月1日,奇安信 CERT发布安全风险通告第二次更新;

2022年10月1日,奇安信 CERT发布安全风险通告第三次更新;

2022年10月5日,奇安信 CERT发布安全风险通告第四次更新;

2022年10月9日,奇安信 CERT发布安全风险通告第五次更新;

2022年11月9日,奇安信 CERT发布安全风险通告第六次更新;


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

原文始发于微信公众号(奇安信 CERT):Microsoft Exchange Server多个0Day漏洞安全风险通告第六次更新

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月29日18:16:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Microsoft Exchange Server多个0Day漏洞安全风险通告第六次更新https://cn-sec.com/archives/1400493.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息