Quelle: gteltsc.vn (Englisch)
Etwa Anfang August 2022 entdeckte das SOC-Team von GTSC im Rahmen der Sicherheitsüberwachung und der Reaktion auf Zwischenfälle, dass eine kritische Infrastruktur angegriffen wurde, und zwar speziell die Microsoft Exchange-Anwendung. Während der Untersuchung stellten die Experten des Blue Teams von GTSC fest, dass der Angriff eine unveröffentlichte Exchange-Sicherheitslücke, d. h. eine 0-Day-Schwachstelle, ausnutzte, und erstellten sofort einen Plan zur vorübergehenden Eindämmung. Gleichzeitig begannen die Experten des Red Teams damit, den dekompilierten Code von Exchange zu untersuchen und zu debuggen, um die Sicherheitslücke und den Exploit-Code zu finden. Dank der Erfahrung bei der Suche nach dem vorherigen 1-Tages-Exploit für Exchange verfügt das RedTeam über ein umfassendes Verständnis der Codeflüsse und Verarbeitungsmechanismen von Exchange, so dass die Forschungszeit verkürzt und die Sicherheitslücke schnell aufgedeckt werden konnte. Die Schwachstelle erweist sich als so kritisch, dass sie dem Angreifer erlaubt, RCE auf dem kompromittierten System durchzuführen. GTSC meldete die Schwachstelle sofort an die Zero Day Initiative (ZDI), um mit Microsoft zusammenzuarbeiten, damit so schnell wie möglich ein Patch erstellt werden kann. Die ZDI überprüfte und bestätigte 2 Fehler, deren CVSS-Scores 8.8 und 6.3 sind, in Bezug auf den Exploit wie folgt.
Bislang hat GTSC jedoch festgestellt, dass auch andere Kunden von einem ähnlichen Problem betroffen sind. Nach sorgfältigen Tests haben wir bestätigt, dass diese Systeme über diese 0-Day-Schwachstelle angegriffen wurden. Um der Community zu helfen, den Angriff vorübergehend zu stoppen, bevor ein offizieller Patch von Microsoft verfügbar ist, veröffentlichen wir diesen Artikel, der sich an Unternehmen richtet, die das Microsoft Exchange E-Mail-System verwenden.
Informationen zur Sicherheitsanfälligkeit
-
Bei der Bereitstellung eines SOC-Dienstes für einen Kunden entdeckte GTSC Blueteam Exploit-Anfragen in IIS-Protokollen mit dem gleichen Format wie die ProxyShell-Schwachstelle: autodiscover/autodiscover.json?@evil.com/
&Email=autodiscover/autodiscover.json%3f@evil.com. Auch bei der Überprüfung anderer Protokolle konnten wir feststellen, dass der Angreifer Befehle auf dem angegriffenen System ausführen kann. Die Versionsnummer dieser Exchange-Server zeigte, dass das letzte Update bereits installiert war, so dass eine Ausnutzung der Proxyshell-Schwachstelle unmöglich war -> Die Blueteam-Analysten können bestätigen, dass es sich um eine neue 0-Day-RCE-Schwachstelle handelt. Diese Informationen wurden an Redteam weitergeleitet, und die Redteam-Mitglieder des GTSC führten Nachforschungen durch, um diese Fragen zu beantworten: Warum waren die Exploit-Anfragen denen des ProxyShell-Bugs ähnlich? Wie ist der RCE implementiert? -
Das GTSC-Redteam hat erfolgreich herausgefunden, wie man den oben genannten Pfad verwendet, um auf eine Komponente im Exchange-Backend zuzugreifen und einen RCE durchzuführen. Zum jetzigen Zeitpunkt möchten wir jedoch noch keine technischen Details der Sicherheitslücke veröffentlichen.
Erkennung
Um Unternehmen bei der Überprüfung zu helfen, ob ihre Exchange-Server bereits von diesem Fehler betroffen sind, hat GTSC einen Leitfaden und ein Tool zum Scannen von IIS-Protokolldateien (standardmäßig im Ordner %SystemDrive%\inetpub\logs\LogFiles gespeichert) veröffentlicht:
Methode 1: Verwenden Sie den Powershell-Befehl:
Get-ChildItem -Recurse -Path
Methode 2: Verwenden Sie das vom GTSC entwickelte Tool: Auf der Grundlage der Exploit-Signatur erstellen wir ein Tool, das eine viel kürzere Suchzeit als die Powershell benötigt. Der Link zum Herunterladen: https://github.com/ncsgroupvn/NCSE0Scanner