Cập nhật: Đã có giải pháp giảm thiểu mới cho lỗ hổng trong Microsoft Exchange

[WhiteHat Team]

Cập nhật ngày 06/10/2022​

Theo các nhà nghiên cứu, giải pháp tạm thời được nhà Microsoft khuyến cáo có thể dễ dàng bị phá vỡ và chưa phải là một biện pháp giảm thiểu tấn công triệt để.

Microsoft ngay sau đó đã xem xét và cập nhật luật URL, cụ thể:

• Mở trình quản lý IIS
• Chọn trang web mặc định
• Trong chế độ View, nhấp vào URL Rewrite
• Trong Actions pane ở phía bên phải, nhấp vào Add Rule…
• Chọn Request Blocking và bấm OK
• Thêm chuỗi ".*autodiscover\.json.*Powershell.*" (Không bao gồm dấu ngoặc kép).
• Chọn Regular Expression
• Chọn Abort Request trong How to block và sau đó bấm OK.
• Cập nhật luật và chọn luật có mẫu: .*autodiscover\.json.*Powershell.* và chọn Edit under Conditions
• Thay đổi đầu vào Điều kiện từ {URL} thành {REQUEST_URI}

Ngoài ra, Microsoft khuyên khách hàng nên dành 5 phút để tắt quyền truy cập PowerShell từ xa cho người dùng không phải là quản trị viên. Thao tác này được giới hạn chỉ có thể thực thi cho một hoặc nhiều người dùng.

Liệu rằng Microsoft có phát hành bản vá cho hai lỗ hổng này không vẫn là câu hỏi chưa có giải đáp. Tuy nhiên chúng ta vẫn hãy cứ hy vọng vì có khả năng bản cập nhật sẽ được hãng phát hành cùng Patch Tuesday tuần tới vào ngày 11/10/2022.

---

Một công ty an ninh mạng tại Việt Nam đã phát hiện và đưa ra báo cáo về chiến dịch tấn công lợi dụng 2 lỗ hổng zero-day trên Microsoft Exchange. Lỗ hổng có thể cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị xâm phạm.

Theo các nhà nghiên cứu, hacker kết hợp 2 lỗ hổng để triển khai web shell China Chopper trên các máy chủ bị xâm nhập nhằm đánh cắp dữ liệu và thực hiện xâm nhập ngang hàng sang các hệ thống khác trong mạng.

Các nhà nghiên cứu nghi ngờ hacker Trung Quốc đứng đằng sau chiến dịch tấn công do phát hiện mã hóa trong web shell có ký tự là 936, một mã hóa ký tự của Microsoft cho tiếng Trung giản thể.

Các web shell thu thập có liên quan đến Antsword, một công cụ open source quản trị trang web có tính năng hỗ trợ quản lý webshell.

Đầu tiên là CVE-2022-41040 (CVSS 6,3) - lỗ hổng SSRF, trong khi lỗ hổng thứ hai là CVE-2022-41082 (CVSS 8,8), cho phép thực thi mã từ xa (RCE) khi kẻ tấn công có thể truy cập PowerShell.

Các nhà nghiên cứu cho biết các truy vấn được sử dụng trong chuỗi khai thác này tương tự như cuộc tấn công nhắm vào các lỗ hổng ProxyShell.

Theo thống kê của các chuyên gia WhiteHat, thế giới có khoảng 203.000 hệ thống server Microsoft Exchange đang public ngoài Internet, trong đó Việt Nam ghi nhận gần 500 server.

Việc khai thác gồm 2 giai đoạn:

• Các truy vấn có định dạng tương tự với lỗ hổng ProxyShell: autodiscover/[email protected]/ <Exchange-backend-endpoint> &Email=autodiscover/autodiscover.json%3f@evil (.) com
• Sử dụng liên kết trên để truy cập một thành phần trong backend nơi RCE có thể được triển khai.

Các nhà nghiên cứu cho biết: “Kiểm tra phiên bản trên các máy chủ bị tấn công cho thấy các hệ thống này đã được cài đặt bản cập nhật mới nhất, do đó không thể khai thác bằng lỗ hổng Proxyshell”.

Giải pháp tạm thời​

Cho đến khi Microsoft phát hành bản vá để giải quyết 2 lỗ hổng zero-day, người dùng nên áp dụng biện pháp khắc phục tạm thời bằng cách thêm luật máy chủ IIS mới, sử dụng module URL Rewrite:

• Trong Autodiscover tại FrontEnd >>> chọn URL Rewrite >>> Request Blocking

• Thêm chuỗi “.*autodiscover\.json.*\@.*Powershell.*“ vào Pattern (URL Path)

• Condition input: Chọn {REQUEST_URI}

Quản trị viên muốn kiểm tra máy chủ Exchange có bị xâm phạm hay không bằng cách chạy lệnh PowerShell sau để quét các tệp nhật ký IIS:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200

Theo BleepingComputer, WhiteHat​