威脅研究
作者:James Slaughter | 2022年9月30日
2022年9月28日,越南網路安全公司 GTSC 發佈一則部落格文章,詳細介紹了他們正在監控的漏洞利用活動正企圖攻擊其使用者的網路系統。經分析,GTSC 鎖定兩個未打補丁的零時差漏洞,並透過 Zero Day Initiative ,以代號 ZDI-CAN-18333(CVSS評分8.8)和 ZDI-CAN-18802(CVSS評分6.3)報告至微軟。目前,這兩個零時差漏洞已被微軟證實並分別編號為 CVE-2022-41040 和 CVE-2022-41082。
CVE-2022-41040 為伺服器端請求偽造(SSRF)漏洞,而 CVE-2022-41082 為遠端代碼執行(RCE)漏洞,允許攻擊者訪問 PowerShell 時,直接向微軟 Exchange 伺服器遠端注入作業系統命令或代碼,從而操控後臺系統。此文章將為您詳細介紹兩大新零時差漏洞的最新追蹤資訊。
- 影響平台:本地 Microsoft Exchange Server 2013/2016/2019
- 影響用戶:使用存在新漏洞的 Microsoft Exchange 的任何企業組織
- 影響結果:攻擊者遠端控制被攻擊系統
- 安全等級:高風險
▌何為 Microsoft Exchange?
Microsoft Exchange 是微軟公司推出的一套電子郵件和日曆伺服器,初始版本為 Exchange 4.0,發佈於 1996 年,最新版本為 Exchange 2019,支援本地部署及 SaaS 軟體即服務模式。
▌目前 Microsoft Exchange 的哪些版本存在最新漏洞?
- 本地部署的 Microsoft Exchange Server 2013
- 本地部署的 Microsoft Exchange Server 2016
- 本地部署的 Microsoft Exchange Server 2019
▌攻擊者如何利用最新漏洞?
目前來看,針對 ProxyShell 漏洞利用(ProxyShell 是 CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207,3 個 Exchange Server 的漏洞總稱)的緩解措施並未完全奏效。
與 ProxyShell 的漏洞利用方式極為相似,這些新漏洞需相互關聯才能發揮作用。攻擊者可透過 GET 請求實現對 CVE-2022-41040 的漏洞利用。
GET請求範例:
GET autodiscover/autodiscover.json?@evilinc.com/
兩大漏洞集的主要不同之處在於,攻擊者需透過 Exchange Server 身份驗證才能成功入侵設備。這一入侵條件看似不易達成,但如今,攻擊者可透過暗網輕易獲得相對廉價的存取憑證。
▌是否已發現 CVE-2022-41040 和 CVE-2022-41082 被在野利用?
是的。據微軟報導,最新發現的兩大漏洞已被用於“有限及針對性的目標”攻擊。此外,如前面所述,GTSC最初也是透過追蹤入侵行為而發現這些漏洞。
▌是否已針對最新漏洞發佈補丁?
截至本稿發佈之時(2022年9月30日),微軟尚未發佈對應補丁。微軟稱,目前正加緊開發補丁。
▌微軟是否已發佈緩解措施?
是的。微軟已發佈以下緩解措施:
“使用本地 Exchange 伺服器的企業組織應立即採取緩解措施,阻止伺服器接受已知攻擊模式,可透過:IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions(IIS管理器 -> 默認網站 -> 自動發現 -> URL 重寫 ->操作)”攔截已知的攻擊模式。
▌具體操作步驟:
- 打開IIS管理器
- 展開 Default Web Site(預設網站)選項
- 選擇 Autodiscover(自動發現)協議
- 在 Feature View(功能視圖)中,按一下URL Rewrite(URL重寫)
- 在 Actions pane 視窗右側,按一下Add Rules(添加規則)
- 選擇 Request Blocking(請求攔截)並點擊OK(確定)
- 添加字串“.*autodiscover\.json.*\@.*Powershell.*”(含引號),並點擊OK(確定)
- 展開規則選項,選擇模式為”.*autodiscover\.json.*\@.*Powershell.*” 的規則,點擊Edit under Conditions(在此條件下編輯)
- 將條件由(URL)更改為(REQUEST_URI)
▌微軟還表示,攔截以下 PowerShell 遠端埠可有效降低攻擊者成功入侵的可能性。
- HTTP:5985
- HTTPS:5986
▌Fortinet 解决方案能否有效抵禦最新漏洞利用攻擊?
可以。為有效應對最新零時差漏洞利用攻擊,Fortinet 已更新現有特徵碼資料庫。IPS特徵碼 “MS.Exchange.Server.Autodiscover.Remote.Code.Execution”可成功攔截 CVE-2022-41040 和 CVE-2022-41082漏 洞利用攻擊。
▌什麼是 FortiGuard Outbreak Alerts (突發威脅告警服務)?
FortiGuard 突發威脅告警服務可及時為使用者提供緩解措施,有效緩解當前爆發的網路攻擊行為,並與Fortinet用戶和合作夥伴即時共用關鍵資訊。Fortinet突發威脅告警服務幫助使用者深入瞭解當前網路事件進展、攻擊技術詳情,以及組織如何保護自身免於當前和類似攻擊威脅。
▌針對 Microsoft Exchange 漏洞,Fortinet 是否已發佈其他文章?
是的。自新漏洞披露以來,Fortinet 持續跟蹤事件進展,已發佈多篇介紹文章。以下為已發佈文章列表:
▌結論
儘管已有臨時緩解措施以及身份驗證策略可增強威脅防護,但仍不應低估這些新漏洞可能引發的嚴重後果。眾所周知,攻擊者可輕易獲取自動掃描工具,大肆搜尋目標網路中存在漏洞的系統。這意味著受漏洞影響的設備極易淪為攻擊者的“眾矢之的”。
FortiGuard Labs 將持續動態監測事件進展,為用戶提供更加深入的安全洞察以及最即時的解決方案資訊,幫助使用者快速應對此次漏洞利用活動。
▌Fortinet 安全解決方案
Fortinet 產品系列已針對此次漏洞全面更新,用戶可充分利用 Fortinet IPS、FortiClient、FortiGate FortiWeb、FortiSASE、FortiNDR、FortiADC、FortiProxy 服務及 FortiGuard 網頁過濾技術,自動觸發威脅回應,避免遭受此次漏洞利用攻擊:
以下 IPS 特徵碼可有效檢測本文章中提及的威脅活動:
MS.Exchange.Server.Autodiscover.Remote.Code.Execution
網頁過濾用戶端可攔截所有基於網路的 URI。
▌Network IOCs:網路入侵受駭指標(IOCs):
IP |
125[.]212[.]220[.]48 |
5[.]180[.]61[.]17 |
47[.]242[.]39[.]92 |
61[.]244[.]94[.]85 |
86[.]48[.]6[.]69 |
86[.]48[.]12[.]64 |
94[.]140[.]8[.]48 |
94[.]140[.]8[.]113 |
103[.]9[.]76[.]208 |
103[.]9[.]76[.]211 |
104[.]244[.]79[.]6 |
112[.]118[.]48[.]186 |
122[.]155[.]174[.]188 |
125[.]212[.]241[.]134 |
185[.]220[.]101[.]182 |
194[.]150[.]167[.]88 |
212[.]119[.]34[.]11 |
URL |
hxxp://206[.]188[.]196[.]77:8080/themes.aspx
|
C2 |
137[.]184[.]67[.]33
|
點擊瞭解 Fortinet 專屬 FortiGuard Labs 威脅研究和全球威脅情報機構,全面探索 FortiGuard 人工智慧(AI)驅動的安全服務 產品系列。立即註冊,訂閱威脅研究最新文章資訊。