CVE-2022-41040和CVE-2022-41082:微软change Server中未补丁的零日漏洞

关于博客:CVE-2022-41040和CVE-2022-41082:微软change Server中未补丁的零日漏洞

最终更新日期:Sat, 01oct 2022 16:29:40 GMT

9月29日(星期四),越南安全公司GTSC在2022年8月上旬发布了微软change Server未补丁的假设漏洞被用于攻击客户环境十大赌博正规信誉网址和国际奥委会做了。。被恶意利用的后果是远程代码运行。。从公开的信息来看,这两个漏洞都是认证后的故障。。根据GTSC的说法,恶意利用了这个漏洞,在受害者系统中设置了网络Shell,为恶意利用后的操作奠定了基础。。

微软将在2022年9月29日深夜确认两个零日漏洞并宣称他们意识到“有限的针对性攻击利用两个漏洞入侵用户系统”。。该漏洞被追踪为CVE-2022-41040和CVE-2022-41082,在9月30日这两个漏洞都没有补丁,但微软将发布修复程序我们已经提前进行了计划。。

  • CVE-2022-41040是Server-Side Request Forgery (SSRF)脆弱
  • CVE-2022-41082在PowerShell可访问攻击者的情况下可能被远程执行代码

这两个漏洞都需要攻击者访问一个认证的网络。。这次袭击是去年臭名昭著的ProxyShell的恶意利用链被认为是一个亚种。。注:利用这些漏洞的攻击,目前是两个CVE的连锁反应,其中一个单独被利用,或者和其他漏洞连锁反应的可能性很大。。

安全研究人员proxyshell的パッチが適用されていない、あるいは不適切なパッチが適用されているExchange Serverがまだ数多く存在し、このため攻撃者は、この最新のキャンペーンに対してある程度耐性があるシステムに容易に侵入することができると指出来有。。在2022年9月初,Rapid7实验室通过443端口最大191,000台在互联网上公开的Exchange Server正在观测。。

脅威智能

gtsc的在我的博客里,关于观察到的攻击,各种IOC,恶意软件分析,MITRE ATT&CK映射等等,有详细的信息。。

微软还在9月30日发布了关于利用这些漏洞的攻击我们发布了更多的信息。。

「MSTIC は、2022 年 8 月に、少数の標的型攻撃で CVE-2022-41040 と CVE-2022-41082 を連鎖させて初期アクセスを達成し Exchange サーバを侵害した、単一の活動グループに関する活動を観察做了。。これらの攻撃は、ハンズオンキーボードアクセスを容易にするために Chopper Web シェルをインストールし、攻撃者はこれを使用して Active Directory の偵察とデータ流出を実行做了。。微软在全球不到10个组织中发现了这些攻击。。MSTIC认为一个单一的活动团体很有可能是国家支持的组织。。"

缓和政策

再次重申,截止到2022年9月30日,CVE-2022-41040和CVE-2022-41082都没有补丁。。在没有补丁的情况下,微软为了对未登录的Exchange客户阻止已知的攻击模式,使用了“IIS管理器→默认网站→自动检测→URL重写→恶意操作”嗯。”然后让他们使用方块规则。。组织按照微软的指示,紧急地我们需要采取缓解措施。。

微软表示:URL修改(缓和)的完整步骤来介绍。。

微软已经确认,上述链接中的URL Rewrite命令成功破坏了当前的攻击链。可以访问脆弱交换系统上的PowerShell Remoting的认证攻击者可以使用CVE-2022-41082触发RCE。你可以通过拦截远程PowerShell使用的端口来限制这些攻击。。因此,本地交换系统的用户可以确认并应用微软的URL Rewrite Instructions你需要封锁远程PowerShell端口。。

  • http: 5985
  • HTTPS: 5986

微软明确表示,Exchange Online的用户什么都不需要做。。但是,使用混合(现场交换和云混合)Exchange环境的组织,必须遵循现场交换的指导。。关于详情,微软的官方博客请参考。

Rapid7的客户

insightvm和Nexpose的客户将在2022年9月30日发布限定内容(Jar UpdateID:远程脆弱检查(144473189)可以评估CVE-2022-41040和CVE-2022-41082的曝光度。。这个检查可以确认微软推荐的缓解方案是否适用。。客人说:查询构建器或者动态资产组你也可以用它来识别哪些系统安装了change。。

GTSC博客中描述的行为类似于过去18个月针对change的其他攻击。。Rapid7的insightidr和管理Detection & Response (MDR)的客户对目前已知的漏洞利用后攻击者的行为具有检测功能,但不限于此。

  • 可疑过程——Outlook Web Access生成的过程
  • 可疑进程——Exchange服务器启动进程
  • 攻击方法——拥有URLCache标志的CertUtil
  • Webshell -中国切换器执行命令
  • Suspicious进程- Executable Runs From C:\Perflogs

我们建议insightidr的客户确认这些检测规则的规则行为和优先级,确保它们符合本公司的安全需求。Rapid7 SOC一如既往地积极监控MDR的客户。。如果在您的环境中检测出可疑活动,客户顾问会联系您。。

补偿内容的追加和强化等进一步的信息会随时在这个博客上通知。。

更新信息

2022年9月30日:微软已经确认两个新的零日漏洞,CVE-2022-41040和CVE-2022-41082,在“有限目标攻击”中被恶意利用。。微软发布了一个政策指南。我们的工程团队正在研究哪些选项可以帮助insightvm和Nexpose的客户评估他们对这些漏洞的暴露。。insightidr的客户可以使用现有的检测范围。。
[16:30 ET] 更新了关于新发布的insightvm和Nexpose漏洞检查的信息。。

2022年10月1日:缓和政策的明确部分的语句和方向,关于利用这些脆弱的攻击微软的分析的威胁情报我们添加了部分。。

 

这是一个英语博客,"CVE-2022-41040 and CVE-2022-41082: Unpatched Zero-Day Vulnerabilities in Microsoft change Server"的机器翻译。。最新信息请参考英文版博客