Ir atklāta jauna 0-day RCE (Remote-code-execution) Microsoft Exchange ievainojamība. Attiecas uz tiem, kuru pārvaldībā ir MS Exchange serveri.

Ja jums ir eksponēts on-prem Microsoft Exchange webmail serviss uz 443 porta, jāpieņem ka serviss ir kompromitēts. Jāsāk piekļuves ierobežošanas darbi un jāmeklē kompromitēšanas indikatori. Primāri apdraudējuma mazināšanai ir jāpārtrauc OWA (Exchange webmail servisu) eksponēšanu uz ārējo tīklu!

Turpmāk tekstā atradīsiet informāciju par to, kā pārliecināties, vai jūsu pārvaldībā esoša sistēma varētu būt kompromitēta. Iesakām meklēt aizdomīgos failus, hash vērtības, tīkla pieprasījumus uz norādītajām IP adresēm un citus kompromitēšanas indikatorus.

Jāņem vērā, ka indikatori ir gan universāli, gan mainīgi, proti, var būt tīkla pieprasījumi uz citām IP adresēm, nekā tās, kas norādītas šajā tekstā.

Lai atklātu, vai esat kompromitēti, jāveic šāda darbība:

Lietojot Powershell komandrindu:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'   

Aizdomīgi faili:
    
FileName – Path
                                                    
DrSDKCaller.exe – C:\root\DrSDKCaller.exe
all.exe – C:\Users\Public\all.exe
dump.dll – C:\Users\Public\dump.dll
ad.exe – C:\Users\Public\ad.exe
gpg-error.exe – C:\PerfLogs\gpg-error.exe
cm.exe – C:\PerfLogs\cm.exe
msado32.tlb – C:\Program Files\Common Files\system\ado\msado32.tlb

Veiciet pārbaudi arī uz citiem jauniem failiem mapēs C:\Users\Public\*,  C:\root\*, C:\PerfLogs\* C:\Program Files\Common Files\system\*

IOCs

Webshell:
                File Name: pxh4HG1v.ashx
                Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1
                Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx
                File Name: RedirSuiteServiceProxy.aspx
                Hash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5
                Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx
                File Name: RedirSuiteServiceProxy.aspx
                Hash (SHA256): b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca
                Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx
                File Name: Xml.ashx
                Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1
                Path: Xml.ashx
                Filename: errorEE.aspx
                SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257
                Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx

DLL:
                File name: Dll.dll
                SHA256:
                        074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82
                        45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9
                        9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0
                        29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3
                        c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2
                File name: 180000000.dll (Dump)
                SHA256: 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e

IP:
125[.]212[.]220[.]48
5[.]180[.]61[.]17
47[.]242[.]39[.]92
61[.]244[.]94[.]85
86[.]48[.]6[.]69
86[.]48[.]12[.]64
94[.]140[.]8[.]48
94[.]140[.]8[.]113
103[.]9[.]76[.]208
103[.]9[.]76[.]211
104[.]244[.]79[.]6
112[.]118[.]48[.]186
122[.]155[.]174[.]188
125[.]212[.]241[.]134
185[.]220[.]101[.]182
194[.]150[.]167[.]88
212[.]119[.]34[.]11

URL:
hxxp://206[.]188[.]196[.]77:8080/themes.aspx

C2:
137[.]184[.]67[.]33

Yara Rules, ko var izmantot meklēšanai:

https://cert.lv/uploads/tech/all-webshell-sig.zip

Veicamās darbības apdraudējuma mazināšanai

Uz IIS servera veikt šādas darbības:

  • In Autodiscover at FrontEnd select tab URL Rewrite, select Request Blocking
  • Add string to the URL Path: .*autodiscover\.json.*Powershell.*
  • Condition input: Choose {UrlDecode:{REQUEST_URI}}
[Lai to izdarītu, sekojiet šeit atrodamajām norādēm: https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/]

Atspējot remote Powershell izmantošanu lietotājiem, kas nav administratori. Instrukcijas kā to izdarīt pieejamas šeit: https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers?view=exchange-ps%22%20\l%20%22use-the-exchange-management-shell-to-enable-or-disable-remote-powershell-access-for-a-user

Ja tiek apstiprinātas kompromitēšanas pazīmes un ja Yara rules ir rezultāti, lūgums par rezultātiem informēt CERT.LV.

Ielādēt vēl rakstus, kuru autors ir  haker
Load More In Redaktors iesaka

Atbildēt

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *

Iesakām izlasīt

8 iemesli, kāpēc uzņēmumam nepieciešams digitālais mārketings

Digitālais laikmets ir ieviesis jaunu mārketinga formu uzplaukumu, un uzņēmumi, kas neizma…