Zranitelnost Microsoft Exchange Server CVE-2022-41040 (CVSSv3 6.3) CVE-2022-41082 (CVSSv3 8.8)

Upozorňujeme na zranitelnost Microsoft Exchange Server CVE-2022-41040 (CVSSv3 6.3) CVE-2022-41082 (CVSSv3 8.8), kterou je možné zneužít vzdáleným spuštěním kódu na severu přístupném v síti nebo z internetu s autentizací. Zranitelnost se týká verzí 2010, 2013, 2016 a 2019. Uživatelé cloudových služeb Exchange Online nejsou zranitelností zasaženi.  

Proof-of-concept ani exploit zatím nebyl zveřejněn, nicméně v nejbližších dnech hrozí jejich zveřejnění, tudíž by docházelo k plošným útokům.   

Mitigace 

Není potřeba v případě, kdy neběží Exchange Server on-premise.  

Pokud provozujete on-premise Exchange server přístupný z internetu, nebo jej máte nasazený v hybridním režimu, doporučujeme neprodleně prověřit stav a zavést ochranná opatření: 

  1. Ujistěte se, zda máte nejaktuálnější verzi Microsoft Exchange Server. 
  2. Zaveďte potřebná opatření:
  • Nastavte přístupová pravidla v IIS modulu URL Rewrite pro blokaci požadavků na “autodiscover.json” dle instrukcí Microsoft:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/.

  • Zablokujte na serveru porty pro službu Remote Powershell (5985, 5986).
  1. Prověřte indikátory kompromitace v seznamu níže, zejména je potřeba prověřit logy Exchange server na přístupy obsahující řetězec “‘powershell.*autodiscover\.json.*\@.*200”.
  • Lze provést např. příkazem Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200
  • Prověřte přítomnost nelegitimních ASPX souborů sloužící jako webshell v adresářích:
  • C:\ProgramFiles\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth
  • C:\inetpub\wwwroot\aspnet_client\
  • Upozorňujeme, že webshell se může potenciálně nacházet v jakémkoliv jiném adresáři, jedná se pouze o potvrzené lokace používané útočníkem.
  1. Prověřte nestandardní aktivitu na Exchange serveru a akce uvnitř sítě, zejména zakládání či změny privilegovaných účtů, zvýšený objem odchozího provozu, skenování či komunikace na jiné stroje v síti.

Proveďte kontrolu indikátorů alespoň od srpna 2022. V případě odhalení kompromitace serveru nebo indikátoru nás kontaktujte na adrese [email protected]. 

Indikátory kompromitace:  

Webshell: 

  • File Name: pxh4HG1v.ashx 

Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1 

Path: C:\Program Files\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx 

  • File Name: RedirSuiteServiceProxy.aspx 

Hash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5 

Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx 

  • File Name: RedirSuiteServiceProxy.aspx 

Hash (SHA256): b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca 

Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx 

  • File Name: Xml.ashx 

Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1 

Path: Xml.ashx 

  • Filename: errorEE.aspx 

SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257 

Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx 

DLL

  • File name: Dll.dll 

SHA256: 

074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82

45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9 

9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0 

29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3 

c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2 

  • File name: 180000000.dll  

SHA256: 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e 

IP: 

  • 125[.]212[.]220[.]48 
  • 5[.]180[.]61[.]17 
  • 47[.]242[.]39[.]92 
  • 61[.]244[.]94[.]85 
  • 86[.]48[.]6[.]69 
  • 86[.]48[.]12[.]64 
  • 94[.]140[.]8[.]48 
  • 94[.]140[.]8[.]113 
  • 103[.]9[.]76[.]208 
  • 103[.]9[.]76[.]211 
  • 104[.]244[.]79[.]6 
  • 112[.]118[.]48[.]186 
  • 122[.]155[.]174[.]188 
  • 125[.]212[.]241[.]134 
  • 185[.]220[.]101[.]182 
  • 194[.]150[.]167[.]88 
  • 212[.]119[.]34[.]11 

URL: 

  • hxxp://206[.]188[.]196[.]77:8080/themes.aspx 

C2: 

  • 137[.]184[.]67[.]33 

Zdroj: GTSC 

Odkazy:  

Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server – Microsoft Security Response Center 

Warning: New attack campaign utilized a new 0-day RCE vulnerability on Microsoft Exchange Server | Blog | GTSC – Cung cấp các dịch vụ bảo mật toàn diện (gteltsc.vn) 

ProxyNotShell— the story of the claimed zero days in Microsoft Exchange | by Kevin Beaumont | Sep, 2022 | DoublePulsar 

New 0-Day Vulnerabilities Found in Microsoft Exchange (huntress.com)