Rà soát backdoor trên Microsoft Exchange Server

Mũ Nồi

Member
18/02/2021
4
9 bài viết
Rà soát backdoor trên Microsoft Exchange Server
Gần đây Microsoft đã công bố bản vá của 4 lỗ hổng bảo mật nghiêm trọng trong Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065).

microsoft-exchange-server-886x590.png

Một nhóm hacker do nhà nước Trung Quốc bảo trợ có tên HAFNIUM bị cáo buộc rằng đang tiến hành một chiến dịch gián điệp lớn để lấy dữ liệu từ các tổ chức trên toàn cầu. Theo một báo cáo, đã phát hiện trong hệ thống hàng chục nghìn doanh nghiệp Hoa Kỳ, châu Âu và châu Á có tồn tại backdoor, chúng được cài vào thông qua lỗ hổng trên.

Kể cả các đơn vị đã cập nhật bản vá của Microsoft nhưng vẫn có nguy cơ tồn tại backdoor từ trước đó (bản cập nhật của Microsoft không có tác dụng ngăn chặn kẻ tấn công truy cập vào hệ thống mạng nội bộ, đánh cắp thông tin thông qua backdoor).

Kiểm tra bản cập nhật Exchange Server
Team Microsoft Exchange Server đã có một bài đăng trên blog về các Bản cập nhật bảo mật, cung cấp một tập lệnh để kiểm tra nhanh trạng thái cấp bản vá của các server Exchange và trả lời một số câu hỏi cơ bản xung quanh việc cài đặt các bản vá này.

Scan log của Exchange
Team Exchange Server đã tạo một tập lệnh để kiểm tra các IOC HAFNIUM tại: https://github.com/microsoft/CSS-Exchange/tree/main/Security

- Khai thác CVE-2021-26855 có thể được phát hiện thông qua Exchange HttpProxy log:
  • Log được lưu tại: %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
  • Việc khai thác có thể được xác định bằng cách tìm kiếm log trong đó AuthenticatedUser trống và AnchorMailbox chứa ServerInfo ~ */*
    • Lệnh PowerShell:
Import-Csv -Path (Get-ChildItem -Recurse -Path "$env:ROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy" -Filter '*.log').FullName | Where-Object { $_.AuthenticatedUser -eq '' -and $_.AnchorMailbox -like 'ServerInfo~*/*' } | select DateTime, AnchorMailbox​
  • Nếu hoạt động được phát hiện, log cụ thể cho ứng dụng được chỉ định trong AnchorMailbox có thể được sử dụng để xác định những hành vi đã được thực hiện.
    • Log này trong thư mục: % PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging.
- Khai thác CVE-2021-26858 có thể được phát hiện thông qua file log sau:

  • C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog
  • Lệnh PowerShell để xác định khả năng bị khai thác:
findstr /snip /c:"Download failed and temporary file" "%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log"​

- Khai thác CVE-2021-26857 có thể được phát hiện thông qua log Windows Application event
  • Việc khai deserialization này sẽ tạo ra các event với các thuộc tính sau:
    • Source: MSExchange Unified Messaging
    • EntryType: Error
    • Event Message Contains: System.InvalidCastException
  • Lệnh PowerShell:
Get-EventLog -LogName Application -Source "MSExchange Unified Messaging" -EntryType Error | Where-Object { $_.Message -like "*System.InvalidCastException*" }​

- Khai thác CVE-2021-27065 có thể được phát hiện thông qua file log sau:
  • C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server
  • Lệnh PowerShell để xác định khả năng bị khai thác:

Select-String -Path "$env:ROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log" -Pattern 'Set-.+VirtualDirectory'​

Tìm kiếm Web shell
Có thể tìm kiếm web shell ở:
  • C:\inetpub\wwwroot\aspnet_client\
  • C:\inetpub\wwwroot\aspnet_client\system_web\
  • Trong đường dẫn cài đặt Exchange Server:
    • %PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
    • C:\Exchange\FrontEnd\HttpProxy\owa\auth\

Các web shell đã được phát hiện thường có tên:
- web.aspx
- help.aspx
- document.aspx
- errorEE.aspx
- errorEEE.aspx
- errorEW.aspx
- errorFF.aspx
- healthcheck.aspx
- aspnet_www.aspx
- aspnet_client.aspx
- xx.aspx
- shell.aspx
- aspnet_iisstart.aspx
- one.aspx
Kiểm tra các tệp .zip, .rar và .7z nghi ngờ trong C:\ProgramData\

Sử dụng Microsoft Support Emergency Response Tool (MSERT) để quét Microsoft Exchange Server
Microsoft Defender đã bổ sung các bản cập nhật cho phiên bản mới nhất của Microsoft Safety Scanner (MSERT.EXE) để phát hiện và khắc phục các mối đe dọa lợi dụng các lỗ hổng Exchange Server. Quản trị viên có thể sử dụng công cụ này cho các máy chủ không có Microsoft Defender. Có 2 lựa chọn là Full scan (quét toàn bộ) và Customized scan (quét tùy chỉnh)

- Full scan: Đây là tùy chọn hiệu quả nhất mặc dù có thể mất nhiều thời gian để hoàn thành tùy thuộc vào kích thước thư mục của máy chủ.

- Customized scan: Có thể cấu hình để quét các đường dẫn tùy chỉnh, một số vị trí lưu file độc hại được phát hiện trong các cuộc tấn công:
  • %IIS installation path%\aspnet_client\*
  • %IIS installation path%\aspnet_client\system_web\*
  • %Exchange Server installation path%\FrontEnd\HttpProxy\owa\auth\*
  • Configured temporary ASP.NET files path
  • %Exchange Server Installation%\FrontEnd\HttpProxy\ecp\auth\*
Blog: Moon Luna
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whf
Thẻ
microsoft exchange
Bên trên