Tam da haftanın sakinleşeceğini ve hafta sonu SecOps'un aksamasına neden olacağını umduğunuz sırada...
…ve birlikte Microsoft Exchange'de yepyeni bir sıfır gün açığı geliyor!
Daha kesin, iki sıfır gün Bu görünüşte birbirine zincirlenebilir; ilk hata, ikinci hatayı tetiklemeye yetecek kadar bir delik açmak için uzaktan kullanılır; bu da potansiyel olarak Exchange sunucusunun kendisinde uzaktan kod yürütülmesine (RCE) izin verir.
Microsoft hızla yayınladı resmi rehberlik Bu güvenlik açıkları hakkında durumu şu şekilde özetliyor:
Microsoft, Microsoft Exchange Server 2013, 2016 ve 2019'u etkilediği bildirilen iki sıfır gün güvenlik açığını araştırıyor. CVE-2022-41040, bir Sunucu Tarafı İstek Sahteciliği (SSRF) güvenlik açığıdır, ikincisi ise şu şekilde tanımlanır: CVE-2022-41082, saldırganın PowerShell'e erişebildiği durumlarda uzaktan kod yürütülmesine (RCE) olanak tanır.
Şu anda Microsoft, kullanıcıların sistemlerine girmek için iki güvenlik açığını kullanan sınırlı hedefli saldırıların farkındadır. Bu saldırılarda CVE-2022-41040, kimliği doğrulanmış bir saldırganın CVE-2022-41082'yi uzaktan tetiklemesini sağlayabilir. İki güvenlik açığından herhangi birinden başarıyla yararlanabilmek için, güvenlik açığı bulunan Exchange Server'a kimliği doğrulanmış erişimin gerekli olduğu unutulmamalıdır.
Görebildiğimiz kadarıyla burada iki olumlu taraf var:
- Hatalar herhangi biri tarafından tetiklenemez. Elbette, internet üzerinden e-posta hesabına zaten giriş yapmış olan ve bilgisayarına kötü amaçlı yazılım bulaşmış herhangi bir uzak kullanıcının, teoride, bu hataları istismar eden bir saldırı başlatmak için hesapları bozulabilir. Ancak Exchange sunucunuzun internet üzerinden e-posta kullanıcılarına açık olması tek başına sizi saldırılara açık hale getirmek için yeterli değildir. kimliği doğrulanmamış çağrı bu hataların giderilmesi mümkün değildir.
- bloke etme PowerShell Uzaktan İletişim saldırıları sınırlayabilir. Microsoft'a göre, Exchange sunucunuzdaki 5985 ve 5986 numaralı TCP bağlantı noktalarını engellemek, saldırganların ilk güvenlik açığından ikinci güvenlik açığına zincirleme yapmasını sınırlayacak (gerçekte engellemese de). PowerShell komutlarının tetiklenmesine gerek kalmadan saldırılar mümkün olsa da, şimdiye kadarki izinsiz giriş raporları PowerShell yürütmenin saldırının gerekli bir parçası olduğunu öne sürüyor gibi görünüyor.
ProxyShell'in anıları
Eğer bu saldırı sana şunu hatırlatıyorsa ProxyShell güvenlik açığı yaklaşık bir yıl önce bunu düşünen yalnız değilsin.
Vietnamlı siber güvenlik şirketi GTSC'ye göre ilk araştırıldı ve rapor edildi araştırmacılar bu yeni delikleri "IIS günlüklerinde ProxyShell güvenlik açığıyla aynı formatta yararlanma istekleri algılandı".
Dikkat çekici bir şekilde, bir çeşit önerdiğimiz tehdit avcılığı sorgusu ProxyShell istismarının 2021'de yeniden başlatılması, bu yeni sıfır günlerin kötüye kullanımının tespit edilmesinde de işe yarayacak gibi görünüyor:
SELECT grep.* FROM file CROSS JOIN grep ON (grep.path = file.path) WHERE file.path LIKE 'C:inetpublogsLogFilesW3SVC%u_ex210[89]%' AND grep.pattern = 'autodiscover.json'
Microsoft'un da notlar o "ProxyShell'e yanıt olarak oluşturduğumuz algılama, bu tehditle işlev açısından benzerlikler olduğundan sorgular için kullanılabilir."
Elbette, yeni saldırının günlüklerinizde bu özel ipucunu bırakmadan gerçekleştirilip gerçekleştirilemeyeceğini henüz bilmiyoruz.
Başka bir deyişle, PowerShell açıklarından kaynaklanan tetikleyici işaretlere benzer tetikleyici işaretler bulursanız, kesinlikle bir saldırı kanıtına sahipsiniz demektir, ancak bu işaretlerin yokluğu, yokluğun kanıtı değildir.
GTSC'ye göre, şu ana kadar araştırdıkları saldırılarda siber suçlular, aşağıdakiler de dahil olmak üzere çeşitli kötü amaçlı yazılımları yerleştirmek ve çalıştırmak için yetkisiz RCE güçlerini kullandı:
- Daha sonra kullanılmak üzere web tabanlı bir arka kapı açmak için yerleştirilen web kabukları. Web kabukları genellikle takip eden saldırıların, rastgele komut argümanlarıyla rastgele sistem komutlarını normal görünümlü HTTP isteklerine yerleştirmesine izin verir. Daha sonra web kabuğu istenen komutu doğrudan yürütür web sunucusunun ayrıcalıklarıyla.
- Kimlik bilgisi dökümü kötü amaçlı yazılımı. Kimlik bilgisi hırsızları genellikle diskte ve bellekte (yeterli ayrıcalığa sahiplerse) düz metin şifreleri ararlar. oturum çerezleri ve ağdaki diğer bilgisayarlara yanal hareket olarak bilinen şeye izin verebilecek kimlik doğrulama belirteçleri.
- Yasal görünen işlemlere yüklenen DLL'ler biçimindeki zombi kötü amaçlı yazılımı. Araştırmacıların analiz ettiği bir DLL örneği, sistem bilgilerini boşaltmak, rastgele komutlar çalıştırmak, C# modüllerini başlatmak ve virüslü sistemdeki dosya ve klasörleri değiştirmek için şifrelenmiş talimatlarla uzaktan beslenebiliyor.
Microsoft'un bu açıkları kapatmak için yamalar yayınladığını bildirmek de dahil olmak üzere, daha fazlasını öğrendikçe bu makaleyi güncelleyeceğiz.
Tehdit avcılığı tavsiyesi
Hataları keşfeden ve bildiren GTSC'den, Microsoft'tan ve Sophos'tan tehdit avcılığı önerileri için lütfen şu adrese bakın:
Ne yapalım?
Azaltımlar şunları içerir:
- Engellemek PowerShell Uzaktan İletişim RCE riskini azaltmak için. Yukarıda belirtildiği gibi, Microsoft'a göre 5985 ve 5986 numaralı TCP bağlantı noktalarının engellenmesi Exchange sunucunuza yönelik saldırıları sınırlayacaktır.
- Kullanmak URL Yeniden Yazma Kuralı bilinen saldırı tetikleyicilerini engellemek için. GTSC ve Microsoft, bu saldırının yaygın biçimlerini tespit etmek ve etkisiz hale getirmek için IIS Sunucusu URL'si yeniden yazma kurallarının nasıl kullanılacağına ilişkin açıklamalara sahiptir.
- Sunucularda bile davranışsal uç nokta tehdit tespitinin etkinleştirildiğinden emin olun. Yukarıda belirtildiği gibi GTSC, şu ana kadar görülen saldırıların, rastgele komutlar çalıştırmak, dosyaları değiştirmek ve sistem bilgilerini çıkarmak için web kabuklarının ve kötü amaçlı yazılım DLL'lerinin yerleştirilmesini içerdiğini bildiriyor. Bu, başarılı bir saldırının üstesinden gelmeniz için size çok sayıda potansiyel tespit ve yanıt göstergesi sağlar.
- Oturum açmış e-posta kullanıcılarının kimlik doğrulamasını kaldırmayı düşünün. Yeniden kimlik doğrulama yapmasına izin vermeden önce her kullanıcının cihazında bir tür uç nokta güvenlik değerlendirmesi gerçekleştirebilirseniz, zaten güvenliği ihlal edilmiş cihazların saldırı başlatmak üzere kullanılması riskini azaltırsınız (her ne kadar ortadan kaldırmasanız da). Ayrıca genel olarak bilinenlerden de çıkaracaksınız. saldırı yüzeyi Oturum açması gerekmeyen veya ilk etapta oturum açtığını hatırlamayan kullanıcılar.
- Herhangi bir yama mevcut olduğu anda uygulayın. Şu ana kadar çoğunlukla Güneydoğu Asya'da olmak üzere yalnızca sınırlı sayıda saldırı rapor edildi ve GTSC, yamalar çıkana kadar güvenlik açıklarının ayrıntılarını kasıtlı olarak gizliyor. Ancak yamalar yayınlandıktan sonra siber suçluların, güncellemeleri uygulamakta gecikenleri yakalama umuduyla hemen işe yarayan açıklara doğru geriye doğru çalışmaya başlayacağını unutmayın.
Şu ana kadar [2022-09-30T13:30Z], akılda tutulması gereken en önemli şeyler şunlar gibi görünüyor: [a] ProxyShell saldırılarını tespit etmek için öğrendiğiniz ipuçları ve teknikler burada neredeyse kesinlikle yardımcı olacaktır. ihtiyacınız olabilecek tek araç bu değil; [b] benzerliklere rağmen (ve internette görmüş olabileceğiniz herhangi bir şeye rağmen), bu değil ProxyShell, böylece ProxyShell yamalarınız sizi bundan korumaz; ve [c] yamalar geldiğinde, bunların çok hızlı bir şekilde çalışır durumdaki açıklara dönüştürülecek şekilde tersine mühendislik uygulanacağını varsayın, bu nedenle bunları uygulamakta gecikmeyin.
WEBSHELL'LER VE BUNLARIN NASIL ÖNLENMESİ HAKKINDA DAHA FAZLA BİLGİ EDİNİN
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- CVE-2022-41040
- CVE-2022-41082
- siber güvenlik
- siber suçluların
- Siber güvenlik
- iç güvenlik bakanlığı
- dijital cüzdanlar
- takas
- güvenlik duvarı
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- Microsoft
- Çıplak Güvenlik
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- VPN
- güvenlik açığı
- web sitesi güvenliği
- zefirnet
- Zero Day
