ProxyNotShell: Erkennung von CVE-2022-41040 und CVE-2022-41082, neuartige Microsoft Exchange Zero-Day-Schwachstellen, die aktiv in freier Wildbahn ausgenutzt werden
Inhaltsverzeichnis:
Bleiben Sie wachsam! Cybersicherheitsforscher haben kürzlich neue Microsoft Exchange Zero-Day-Schwachstellen aufgedeckt, auch bekannt als ProxyNotShell verfolgt als CVE-2022-41040 und CVE-2022-41082, die derzeit aktiv ausgenutzt werden. Die neu aufgedeckten Schwachstellen in Microsoft Exchange Server können in der Exploit-Kette zusammen verwendet werden, um chinesische Chopper-Web-Shells auf den Zielservern zu verbreiten. Laut den Forschern sind diese Zero-Day-Angriffe chinesischen Hackern zuzuordnen.
Erkennen Sie Versuche, ProxyNotShell-Schwachstellen auszunutzen: Kritische Zero-Days in Microsoft Exchange Server
Gegnerische Kampagnen, die Zero-Day-Schwachstellen in realen Angriffen ausnutzen, erfordern eine ultra-schnelle Reaktion von Cyberverteidigern. Um Organisationen proaktiv gegen Angriffe solchen Ausmaßes zu verteidigen, hat die Detection as Code-Plattform von SOC Prime kürzlich eine Reihe von kuratierten Sigma-Regeln für die Erkennung von Microsoft Exchange Zero-Day-Exploits, bekannt als ProxyNotShell-Schwachstellen aufgrund ihrer Ähnlichkeit, veröffentlicht. Alle Erkennungsalgorithmen sind für eine optimierte Suche über den „ProxyNotShell“-Tag verfügbar, basierend auf dem Namen der Zero-Days, den sie aufgrund ihrer Ähnlichkeiten mit den berüchtigten ProxyShell-Schwachstellen.
Sigma-Regeln im bereitgestellten Erkennungs-Stack können in branchenführenden SIEM-, EDR- und XDR-Lösungen verwendet werden, die den spezifischen Anforderungen der Organisation entsprechen.
Klicken Sie auf die Erkennungen erkunden -Schaltfläche, um sofort die Liste der relevanten Sigma-Regeln zu erreichen, die mit MITRE ATT&CK-Referenzen, CTI-Links und anderen relevanten Cyber-Bedrohungskontexten angereichert sind.
Neue Microsoft Exchange Zero-Days, auch bekannt als ProxyNotShell: Angriffsanalyse und Minderung
Zero-Day-Schwachstellen in Exchange Server verursachen in der Cyber-Bedrohungslandschaft oft Aufruhr, da sie eine ernsthafte Bedrohung für globale Organisationen darstellen, die diese beliebte Microsoft-Anwendung nutzen. Forscher des vietnamesischen Cybersicherheitsunternehmens GTSC haben kürzlich neue Zero-Day-Schwachstellen entdeckt, die Microsoft Exchange Server 2013, 2016 und 2019 betreffen. Nach Angaben der GTSC-Forscher können die aufgedeckten Zero-Days miteinander kombiniert werden, um chinesische Chopper-Web-Shells herunterzuladen, die Angreifern ermöglichen, sensible Daten zu stehlen und sich lateral über die kompromittierte Umgebung zu bewegen. Die bösartige Aktivität wird einem chinesischen Hacking-Kollektiv zugeschrieben, basierend auf der Code-Seite, die Web-Shells enthält, und der Verwendung von AntSword, einem chinesischen Open-Source-Website-Management-Tool. Cybersicherheitsforscher bei GTSC haben festgestellt, dass Anfragen in der neuesten Exploit-Kette, die auf die Microsoft Exchange-Anwendung abzielen, Ähnlichkeiten mit denen aufweisen, die in Cyberangriffen verwendet werden, bei denen ProxyShell-Schwachstellen.
ausgenutzt werden. Um sofortige Maßnahmen zu ergreifen, hat GTSC eine Warnung herausgegeben, die über eine laufende Angriffskampagne berichtet, bei der eine dieser Zero-Day-Schwachstellen von Angreifern genutzt wird, um Remote Code Execution (RCE) durchzuführen. Cybersicherheitsforscher haben diese kritischen Informationen über aufgedeckte Sicherheitslücken privat an Microsoft übermittelt, via Zero Day Initiative, die diese Schwachstellen als ZDI-CAN-18333 und ZDI-CAN-18802 identifiziert hat.
Am 29. September 2022 hat das Microsoft Security Response Center Kundenhinweise für gemeldete Microsoft Exchange Zero-Day-Schwachstellen mit einer Liste von Maßnahmen zur Minderung der Bedrohung veröffentlicht. Die erste Schwachstelle ist eine Server-Side Request Forgery (SSRF)-Schwachstelle, die als CVE-2022-41040 verfolgt wird, während die zweite, bekannt als CVE-2022-41082, es Angreifern ermöglicht, RCE mit PowerShell durchzuführen. Nachdem sie authentifizierten Zugriff auf Microsoft Exchange Server erlangt und die CVE-2022-41040 genutzt haben, können Bedrohungsakteure auch die zweite Schwachstelle auslösen, die zu einer Exploit-Kette führt.
Laut den Kundenhinweisen müssen Online-Kunden, die Microsoft Exchange nutzen, keine sofortigen Maßnahmen ergreifen, da die bekanntgegebenen Zero-Day-Bugs nur lokale Anwendungen betreffen. Als Minderungsmaßnahmen wird Benutzern lokaler Anwendungen empfohlen, eine bereitgestellte Reihe von Anweisungen zum Umschreiben von URLs zu befolgen und kompromittierte Remote PowerShell-Ports zu blockieren, einschließlich HTTP: 5985 und HTTPS: 5986.
MITRE ATT&CK®-Kontext
Um in den Kontext der in den laufenden Angriffen verwendeten Microsoft Exchange Zero-Days einzutauchen, sind die oben genannten Sigma-Regeln mit dem MITRE ATT&CK®-Framework abgebildet, das die entsprechenden Taktiken und Techniken adressiert:
