wordpress

Nicht gepatchtes Microsoft Exchange Zero-Day aktiv in den WildSecurity-Fällen ausgenutzt


Sicherheitsforscher warnen vor einem neuen Zero-Day-Microsoft Exchange, das von böswilligen Akteuren in freier Wildbahn ausgenutzt wird.

Das Cybersicherheitsunternehmen GTSC hat zwei Zero-Day-Schwachstellen in Microsoft Exchange entdeckt, die aktiv für Angriffe in freier Wildbahn ausgenutzt werden.

Beide Fehler wurden von Forschern während der Reaktion auf Vorfälle im August 2022 entdeckt, es handelt sich um Probleme bei der Remote-Code-Ausführung

Beide Schwachstellen haben noch keine CVE-Identifikatoren erhalten, das Unternehmen hat die Probleme über die Zero Day-Initiative offengelegt, die sie als ZDI-CAN-18333 (CVSS-Bewertung: 8,8) und ZDI-CAN-18802 (CVSS-Bewertung: 6,3) verfolgt.

GTSC hat andere Angriffe auf seine Kunden beobachtet, die dieselben Schwachstellen ausnutzen. Die Angriffe ermöglichten es Angreifern, auf dem anfälligen System Fuß zu fassen und Informationen über das System zu sammeln. Die erfolgreiche Ausnutzung des Problems ermöglicht es Angreifern, eine Hintertür einzurichten und Querbewegungen zu anderen Servern im Netzwerk durchzuführen.

„Nachdem wir den Exploit erfolgreich gemeistert hatten, zeichneten wir Angriffe auf, um Informationen zu sammeln und im System des Opfers Fuß zu fassen. Das Angriffsteam verwendete auch verschiedene Techniken, um Backdoors auf dem betroffenen System zu erstellen und seitliche Bewegungen zu anderen Servern im System durchzuführen. Lesen Sie die von GTSC veröffentlichte Mitteilung. „Wir haben Webshells entdeckt, die größtenteils verschleiert auf Exchange-Servern abgelegt wurden. Mithilfe des Benutzeragenten haben wir festgestellt, dass der Angreifer Antsword verwendet, ein aktives, in China ansässiges, plattformübergreifendes Open-Source-Websiteverwaltungstool, das die Verwaltung von Webshells unterstützt.

Die Forscher glauben, dass die Angriffe von einem chinesischen Bedrohungsakteur ausgeführt wurden, da die Webshell-Codepage 936 ist, was eine Microsoft-Zeichencodierung für vereinfachtes Chinesisch ist.

GTSC Blueteam gibt an, dass die Exploitation-Anfragen in den IIS-Protokollen im gleichen Format wie ProxyShell-Schwachstelle.

“Die Versionsnummer dieser Exchange-Server deutete darauf hin, dass das neueste Update bereits installiert war, daher war eine Ausnutzung der Proxyshell-Schwachstelle unmöglich -> Blueteam-Analysten können bestätigen, dass es sich um eine neue RCE 0-Schwachstelle handelt – Tag.” setzt die Beratung fort.

Die Forscher bemerkten auch, dass der Angreifer auch den Inhalt der legitimen Exchange-Datei RedirSuiteServiceProxy.aspx in Webshell-Inhalte modifiziert.

Zero-Day von Microsoft Exchange

Während des Incident-Response-Prozesses bei einem anderen Kunden entdeckten GTSC-Experten, dass die Bedrohungsakteure die China Chopper-Web-Shell verlassen hatten, eine Hintertür, die häufig von mit China verbundenen APT-Gruppen verwendet wird.

Darüber hinaus injizierten die Angreifer bösartige DLLs in den Speicher, legten verdächtige Dateien auf den Zielservern ab und führten diese Dateien mit WMIC aus, das eine Befehlszeilenschnittstelle für Windows Management Instrumentation (WMI) bietet.

GTSC bietet eine vorübergehende Minderung der Anfälligkeit für Angriffe, die diese Zero-Day-Probleme ausnutzen. Das Unternehmen empfiehlt das Hinzufügen einer Regel zum Blockieren von Anfragen mit Angriffsindikatoren über das URL-Rewrite-Regelmodul auf dem IIS-Server.

Damit Organisationen überprüfen können, ob ihre Exchange-Server durch Ausnutzung dieser Schwachstellen kompromittiert wurden, hat GTSC eine Richtlinie und ein Tool zur Analyse von IIS-Protokolldateien (standardmäßig im Ordner %SystemDrive%\inetpub\logs\LogFiles gespeichert) veröffentlicht:

  • Methode 1: Verwenden Sie den Powershell-Befehl:
  • Get-ChildItem -Recurse -Pfad -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200
  • Methode 2: Verwenden Sie das von GTSC entwickelte Tool : Basierend auf der Exploit-Signatur bauen wir ein Suchtool mit einem viel kürzeren Zeitaufwand als die Verwendung von Powershell. Der Link zum Herunterladen: https://github.com/ncsgroupvn/NCSE0Scanner

Experten haben auch Kompromittierungsindikatoren für diese Angriffe geteilt.

Folge mir auf Twitter: @Sicherheitsfragen und Facebook

Pierluigi Paganini

(Sicherheitsfälle Hacking, Microsoft Exchange Zero-Day)





Blog In 2021 joker0o xyz

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button