Conscia ThreatInsights
Nya 0-day sårbarheter i Microsoft Exchange Server attackeras aktivt

Två rapporterade Zero Day-sårbarheter som påverkar Microsoft Exchange Server 2013, 2016 och 2019 (on-prem) och som spåras som CVE-2022-41040 och CVE-2022-41082 attackeras nu aktivt. Experter från Conscia Threat Intelligence förklarar hur kritiska dessa är och hur man kan motverka dem.

Hur man motverkar Microsoft Exchange Server Zero Day-sårbarheterna CVE-2022-41040 och CVE-2022-41082

Zero Day-sårbarhet Microsoft Exchange ServerDen 29 september 2022 publicerade Microsoft en ny kundvägledning för två rapporterade Zero Day-sårbarheter (dagnollattacker) som påverkar Microsoft Exchange Server 2013, 2016 och 2019 (endast lokala distributioner/on prem). De spåras som CVE-2022-41040 Server-Side Request Forgery (SSRF) och CVE-2022-41082 Remote Code Execution (RCE), båda sårbarheterna utnyttjas nu aktivt. Microsoft bekräftade att SSRF endast kan utnyttjas av autentiserade angripare – först då är det möjligt att utnyttja RCE-sårbarheten.

Vid publiceringen av den här artikeln hittade vi redan en offentlig rapport om en framgångsrik cyberattack genom dessa sårbarheter av den kinesiska hotaktören som distribuerade kinesiska Chopper-web shells för persistens, datastöld och lateral förflyttning genom offrens nätverk.

Sårbarheter påverkar endast lokala/on prem distributioner, medan Microsoft Exchange Online-kunder inte behöver vidta några åtgärder.

Hur fungerar Zero Day-sårbarheterna och vilka är påverkade?

De två Zero Day-sårbarheterna spåras som:

  • CVE-2022-41040 (SSRF, Server-Side Request Forgery)
  • CVE-2022-41082 (Fjärrkodexekvering)

SSRF kan endast utnyttjas av autentiserade angripare och är en förutsättning för framgångsrikt utnyttjande av en RCE-sårbarhet. SSRF-sårbarheten utnyttjas på samma sätt som de som används i attacker som riktar sig mot ProxyShell-sårbarheterna.

Exploateringen består av två steg:

  • Förfrågningar med ett format som liknar ProxyShell-sårbarheten: autodiscover/[email protected]/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%[email protected].
  • Användandet av länken ovan för att komma åt en komponent i backend där RCE kan implementeras.

Sårbarheterna påverkar lokala/on-prem distributioner av Microsoft Exchange Server 2013, 2016 och 2019.

Riktlinjer från Conscia Cyberdefense

Vi rekommenderar för närvarande våra kunder att följa de motåtgärder som föreslås av Microsoft i deras kundvägledning.

Microsoft Exchange Online-kunder behöver inte vidta några åtgärder. Lokala/on-prem Microsoft Exchange-kunder bör granska och tillämpa följande URL Rewrite Instructions och blockera exponerade Remote PowerShell-portar.

Den nuvarande motåtgärden är att lägga till en blockeringsregel i ”IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions” för att blockera de kända attackmönstren.

Microsoft har bekräftat att följande URL Rewrite Instructions, som för närvarande diskuteras offentligt, framgångsrikt bryter nuvarande attackkedjor.

  1. Öppna IIS Manager.
  2. Expandera ”Default Web Site”.
  3. Välj ”Autodiscover”.
  4. Klicka på ”URL Rewrite” i funktionsvyn.
  5. I fönstret ”Actions Pane” till höger klickar du på ”Add Rules”.
  6. Välj ”Request Blocking” och klicka på ”OK”.
  7. Lägg till strängen ”.*autodiscover\.json.*\.*Powershell.*” (exklusive citattecken) och klicka på ”OK”.
  8. Expandera regeln och välj regeln med mönstret ”*autodiscover\.json.*\@.*Powershell.*” och klicka på ”Edit” under ”Conditions”.
  9. Ändra villkorsinmatningen från {URL} till {REQUEST_URL}

*[2022-04-10] UPPDATERING: Enligt ytterligare analys var ”@”-tecknet i steg 7 för specifikt för de kända attackerna. Att ta bort det skulle göra regeln mer sårbar mot andra attacker. Vi på Conscia har ännu inte hunnit testa om det skulle påverka daglig drift.

*[2022-05-10] UPPDATERING: Tog bort ”@”-tecknet i steg 7.

Det finns ingen känd påverkan på Exchange-funktionaliteten om URL Rewrite-modulen är installerad enligt riktlinjerna.

Autentiserade angripare som kan komma åt PowerShell Remoting på sårbara Exchange-system kommer att kunna utlösa RCE med CVE-2022-41082. Blockering av portarna som används för Remote PowerShell kan begränsa dessa attacker.

  • HTTP: 5985
  • HTTPS: 5986

Vill Du ha hjälp?

Om du har ytterligare frågor eller vill ha hjälp med din riskbedömning, säkerhetsstrategi eller ert införande av motåtgärder, kontakta gärna din Conscia Cyberdefense-konsult, som kommer att kunna samla nödvändiga expertresurser för att hjälpa dig.

Kontakta oss!
Svar inom 24h