Categoria: Inteligência de vulnerabilidadeClasse de vulnerabilidade: SSRF pós-autenticação, RCEID DA CAVERNA: CVE-2022-41040 CVE-2022-41082CVSS: 3.0 Pontuação: 8,8 6.3

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• Duas vulnerabilidades de 0 dias após a autenticação descobertas na versão mais recente dos servidores MS Exchange.
• As vulnerabilidades estão marcadas como CVE-2022-41040 (SSRF) e CVE-2022-41082 (RCE).
• O CVE-2022-41040 permite que um invasor autenticado acione o CVE-2022-41082.

• A vulnerabilidade pode permitir que os agentes da ameaça obtenham acesso inicial aos sistemas/à rede de uma organização e conduzam novas explorações.

• Siga as orientações mais recentes da Microsoft até que um patch de segurança seja lançado. Orientação da Microsoft

Análise técnica

• Empresa de segurança GTSC identificou tentativas de exploração nos registros do Microsoft IIS Server para um cliente.
• O Internet Information Services (IIS) é um servidor web adaptável e seguro para hospedar qualquer coisa na Internet.
• As solicitações de exploração eram muito semelhantes às solicitações usadas anteriormente para explorar o Proxy Shell vulnerabilidade.
• A investigação da equipe do GTSC confirmou a presença de duas vulnerabilidades de 0 dias após a autenticação na versão mais recente dos servidores Microsoft Exchange.
• As vulnerabilidades foram enviadas à Zero Day Initiative (ZDI) e receberam os seguintes IDs:
  • ZDI-CAN-18333
  • ZDI-CAN-18802

Sobre as vulnerabilidades

• A Microsoft atribuiu o CVE-2022-41040 à vulnerabilidade SSRF e o CVE-2022-41082 à vulnerabilidade RCE.
• É necessário que o invasor tenha acesso autenticado ao servidor Exchange vulnerável para poder explorar as vulnerabilidades.
• A exploração do CVE-202-41040 é usada para acionar a vulnerabilidade RCE CVE-2022-41082.
• De acordo com a Microsoft, o CVE-2022-41082 permite a execução remota de código quando o PowerShell está acessível ao invasor. No entanto, é importante observar que existem outros métodos para explorar os servidores Exchange para RCE sem o Powershell.
• Como a exploração exige que o invasor seja autenticado, técnicas como ataques de preenchimento de credenciais podem ser usadas para obter autenticação.
• Nomes de usuário de e-mail/domínio de força bruta com senhas comumente usadas são observados como uma técnica comum entre os invasores para obter acesso aos servidores do Exchange.

Informações da OSINT

• De acordo com Shodan, atualmente existem mais de duzentos mil servidores MS Exchange ativos.

[caption id="attachment_20822" align="alignnone” width="1081"] Captura de tela dos resultados da pesquisa do Shodan para servidores MS Exchange ativos [/caption]

Possível impacto

• Ao explorar essa vulnerabilidade, os agentes de ameaças podem obter controle remoto dos servidores MS Exchange.
• O acesso acima pode ser explorado para o seguinte:
  • Executando comandos
  • Escalação de privilégios
  • Baixando arquivos maliciosos
• Isso forneceria aos agentes mal-intencionados os detalhes necessários para lançar ataques sofisticados de ransomware, instalar botnets e manter a persistência.

Medidas de mitigação

Nota: Essas mitigações foram extraídas das diretrizes divulgadas pela Microsoft Os clientes locais do Microsoft Exchange devem revisar e aplicar as seguintes instruções de “Reescrita de URL” e bloquear todas as portas remotas do PowerShell expostas.

• • Abra o Gerenciador do IIS
  • Expandir o site padrão
  • Selecione Descoberta automática
  • Na Visualização de recursos, clique em Reescrever URL
  • Clique na opção Adicionar regras disponível no painel Ações.
  • Selecione Solicitar bloqueio e clique em OK
  • Adicione uma string”. *descoberta automática\ .json.*\ @. *Powershell.*” (excluindo aspas) e clique em OK
  • Expanda e selecione a regra com o padrão”. *descoberta automática\ .json.*\ @. *Powershell.*”
  • Clique em Editar em Condições
  • Altere a entrada da condição de {URL} para {REQUEST_URI}
• Consulte o Apêndice seção para as capturas de tela descrevendo as etapas acima.
• Não há impacto conhecido na funcionalidade do Exchange se o módulo de reescrita de URL for instalado conforme recomendado.
• Os invasores autenticados que podem acessar o PowerShell Remoting em sistemas Exchange vulneráveis também poderão acionar o RCE usando o CVE-2022-41082. O bloqueio das seguintes portas usadas para o PowerShell remoto pode limitar esses ataques.
  • HTTP: 5985
  • HTTPS: 5986

Indicadores de compromisso

Nota: Esses IOCs são do ataque detectado pela equipe do GTSC.Hashes SHA256c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec165a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5b5038f1912e7253c77f5b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268cac838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d8245c8233236a69a081ee390d4faa253177180b2dbd45d8ed08369e07429ffbe0a99ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c029b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d 990931c3c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff276a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701eURLhxxp: //206 [.] 188 [.] 196 [.] 77:8080 /themes [.] aspxEndereço IP125 [.] 212 [.] 220 [.] 48104 [.] 244 [.] 79 [.] 686 [.] 48 [.] 12 [.] 6494 [.] 140 [.] 8 [.] 485 [.] 180 [.] 61 [.] 17112 [.] 118 [.] 48 [.] 186212 [.] 119 [.] 34 [.] 1194 [.] 140 [.] 8 [.] 11347 [.] 242 [.] 39 [.] 92122 [.] 155 [.] 174 [.] 188103 [.] 9 [.] 76 [.] 211103 [.] 9 [.] 76 [.] 20861 [.] 244 [.] 94 [.] 85125 [.] 212 [.]] 241 [.] 134185 [.] 220 [.] 101 [.] 182194 [.] 150 [.] 167 [.] 8886 [.] 48 [.] 6 [.] 69

Referências

• ^#Protocolo de semáforo - Wikipedia
• GTSC-WARNING: UMA NOVA CAMPANHA DE ATAQUE UTILIZOU UMA NOVA VULNERABILIDADE RCE DE 10 DIAS NO MICROSOFT EXCHANGE SERVER
• Microsoft - Orientação ao cliente sobre vulnerabilidades de dia zero relatadas no Microsoft Exchange Server

Apêndice

[caption id="attachment_20823" align="alignnone” width="637"] Vulnerabilidades listadas no site da ZDI [/caption] [caption id="attachment_20824" align="alignnone” width="1024"] Captura de tela dos registros do Microsoft IIS Server contendo a opção de reescrita de URL [/caption] [caption id="attachment_20825" align="alignnone” width="1024"] Captura de tela da opção Adicionar regras presente no painel Ações do URL Rewrite [/caption] [caption id="attachment_20826" align="alignnone” width="1024"] Captura de tela da opção de bloqueio de solicitações presente na caixa de diálogo Adicionar regras [/caption] [caption id="attachment_20827" align="alignnone” width="1024"] Captura de tela da adição da string no campo de dados Pattern (URL Path) [/caption] [caption id="attachment_20828" align="alignnone” width="1024"] Captura de tela da seleção de padrões [/caption] [caption id="attachment_20829" align="alignnone” width="1024"] Captura de tela da entrada da condição sendo alterada para {REQUEST_URL} [/caption]