Tadu cảnh báo về lỗ hổng bảo mật Zero-day trên Microsoft Exchange

Tadu cảnh báo về lỗ hổng bảo mật Zero-day trên Microsoft Exchange

– Trên trang chủ của Microsoft hiện có bài thông báo và phân tích về về lỗ hỏng bảo mật zero-day trên phần mềm Microsoft Exchange.

– Các lỗ hổng đã được định danh với các mã lỗi là: CVE-2022-41040 CVE-2022-41082

– Mức độ đánh giá về về lỗ hổng: nghiêm trọng

Tổng quan

Microsoft đang điều tra hai lỗ hổng zero-day được báo cáo ảnh hưởng đến các phiên bản của Microsoft Exchange Server bao gồm: Exchange Server 2013, Exchange Server 2016 và Exchange Server 2019.

  • Mã lỗi đầu tiên, được xác định là CVE-2022-41040 là lỗ hổng truy vấn yêu cầu phía máy chủ- Server-Side Request Forgery (SSRF). Là một kiểu khai thác trong đó kẻ tấn công lạm dụng chức năng của máy chủ khiến máy chủ truy cập hoặc thao túng thông tin, cho phép kẻ tấn công thực hiện ở phía máy chủ các yêu cầu (request) đến các domain tùy ý của kẻ tấn công.
  • Thứ hai được xác định là CVE-2022-41082 , cho phép thực thi mã từ xa – Remote Code Execution (RCE) khi kẻ tấn công có thể truy cập vào được PowerShell (là một chương trình quản lý cấu hình và tự động hóa tác vụ của Microsoft, bao gồm một trình bao dòng lệnh và ngôn ngữ kịch bản liên quan), từ đó kẻ tấn công có thể thực thi các mã tùy ý và chạy bất kỳ tập lệnh nào trên máy mục tiêu.

CVE-2022-41040 có thể cho phép kẻ tấn công đã xác thực kích hoạt CVE-2022-41082 từ xa. Tuy nhiên, cần có quyền truy cập được xác thực vào Exchange Server dễ bị tấn công để khai thác thành công lỗ hổng và chúng có thể được sử dụng riêng biệt.

Các phần mềm Microsoft Defender Antivirus và Microsoft Defender cho Endpoint đã phát hiện phần mềm độc hại và hoạt động liên quan đến các cuộc tấn công này. Microsoft sẽ tiếp tục theo dõi các mối đe dọa lợi dụng các lỗ hỏng này và thực hiện các hành động ứng phó cần thiết để bảo vệ khách hàng của mình.

Cho đến thời điểm hiện tại Microsoft vẫn chưa phát hành bản vá lỗi, hiện phía Microsoft vẫn đang tích cực làm việc để cố gắng đưa ra bản vá lỗi.

Phân tích hoạt động tấn công

MSTIC đã quan sát hoạt động liên quan đến một nhóm hoạt động duy nhất và đơn lẻ vào tháng 8 năm 2022, nhóm này đã đạt được quyền truy cập ban đầu vào máy chủ Exchange bị xâm phạm bằng cách liên kết CVE-2022-41040 và CVE-2022-41082 trong một số lượng nhỏ các cuộc tấn công có chủ đích. Các cuộc tấn công này đã cài đặt trình bao web Chopper shell lên hệ thống mục tiêu tấn công để thực thi mã từ xa và chiếm quyền điều khiển bàn phím của người dùng (hands-on-keyboard), những kẻ tấn công đã sử dụng lỗ hổng để thực hiện truy cập vào Active Directory và xâm nhập dữ liệu của người dùng. Microsoft đã nhận thấy có ít hơn 10 tổ chức trên toàn cầu bị dính vào cuộc tấn công này. 

Phân tích hoạt động tấn công
Phân tích hoạt động tấn công

Dấu hiệu nhận biết khi bị tấn công

Gói tin tin tặc sử dụng để khai thác lỗ hổng có các dấu hiệu sau:
• Truy vấn HTTP phương thức POST
• Truy vấn đến endpoint “/autodiscover/autodiscover.json”
• Có thể chứa chuỗi ” Powershell”

Rule Suricata:

alert http any any -> any any (msg:"Detecting Exploit 0-day Exchange Exploit"; flow:to_server; content:"POST";
http_method; content:"/autodiscover/autodiscover.json"; startswith; http_uri; content:"Powershell"; http_uri;
classtype:web-application-attack; sid:20224344; rev:1;)

Các biên pháp để hạn chế tấn công

Hiện tại phía Microsoft vẫn chưa phát hành bản vá cho lỗ hỏng này, tuy nhiên để hạn chế được cuộc tấn công thì người dùng có thể thực hiện các biện pháp bên dưới để bảo vệ cho hệ thống của mình.

Khách hàng của Exchange Online không cần phải thực hiện bất kỳ hành động nào trong các hướng dẫn này.

– Các biện pháp này dành cho các khách hàng sử dụng Exchange Server: để đảm bảo an toàn đầu tiên người dùng tắt kết nối từ xa vào Powershell trên Exchange Server, sử dụng URL Rewrite trên Internet Information Service Manager (IIS) thêm rule chặn các truy vấn khai thác lỗ hỏng.

Các bước để thêm quy tắc (rule)

– Mở trình quản lý IIS
– Nhấp chọn Default Web Site.
– Trong chế độ xem các tính năng, nhấp chọn vào URL Rewrite.

Các bước để thêm quy tắc (rule)
Các bước để thêm quy tắc (rule)

– Trong ngăn Tác vụ (Actions) ở phía bên phải, hãy nhấp vào Thêm quy tắc (Add Rules(s)…)  

Các bước để thêm quy tắc (rule)
Các bước để thêm quy tắc (rule)

– Chọn Request blocking và nhấp vào OK

Các bước để thêm quy tắc (rule)
Các bước để thêm quy tắc (rule)

– Thêm chuỗi .*autodiscover\.json.*\@.*Powershell.* vào Pattern (URL Path).
– Chọn Regular Expression trong Using .
– Chọn Abort Request trong How to block và sau đó bấm OK.

Các bước để thêm quy tắc (rule)
Các bước để thêm quy tắc (rule)

– Mở rộng quy tắc và chọn quy tắc có mẫu: (?=.*autodiscover)(?=.*powershell) và nhấp vào Chỉnh sửa trong Conditions

Các bước để thêm quy tắc (rule)
Các bước để thêm quy tắc (rule)

– Thay đổi Condition input từ {URL} thành {UrlDecode:{REQUEST_URI}} và sau đó nhấp vào OK. 

Các bước để thêm quy tắc (rule)
Các bước để thêm quy tắc (rule)

Công cụ hỗ trợ xác nhận cấu hình thành công máy chủ để ngăn chặn tấn công:
• https://github.com/VNCERT-CC/0dayex-checker/releases

Phát hiện tấn công:
Công cụ hỗ trợ phát hiện dấu hiệu hệ thống đã bị xâm nhập:
• https://github.com/ncsgroupvn/NCSE0Scanner/releases

Trân trọng cảm ơn!

Đội ngũ Tadu.Cloud thực hiện.