Microsoft a confirmé que deux vulnérabilités zero-day récemment signalées dans Microsoft Exchange Server 2013, 2016 et 2019 sont exploitées dans la nature.
“La première vulnérabilité, identifiée comme CVE-2022-41040, est une vulnérabilité Server-Side Request Forgery (SSRF), tandis que la seconde, identifiée comme CVE-2022-41082, permet l’exécution de code à distance (RCE) lorsque PowerShell est accessible au attaquant,” Microsoft a dit.
“Pour le moment, Microsoft est au courant d’attaques ciblées limitées utilisant les deux vulnérabilités pour pénétrer dans les systèmes des utilisateurs.”
La société a ajouté que la faille CVE-2022-41040 ne pouvait être exploitée que par des attaquants authentifiés. Une exploitation réussie leur permet alors de déclencher la vulnérabilité CVE-2022-41082 RCE.
Les clients Microsoft Exchange Online n’ont aucune action à effectuer pour le moment, car les « zero-days » n’affectent que les instances Microsoft Exchange sur site.
“Nous travaillons sur un calendrier accéléré pour publier un correctif. D’ici là, nous fournissons les conseils d’atténuation et de détection ci-dessous pour aider les clients à se protéger contre ces attaques”, a ajouté Microsoft.
Selon la société vietnamienne de cybersécurité GTSC, qui a d’abord signalé les attaques en coursles zero-days sont enchaînés pour déployer des shells Web chinois Chopper pour la persistance et le vol de données et pour se déplacer latéralement à travers les réseaux des victimes.
GTSC soupçonne également qu’un groupe de menaces chinois pourrait être responsable des attaques en cours basées sur la page de code des shells Web, un codage de caractères Microsoft pour le chinois simplifié.
Le groupe de menaces gère également les shells Web avec l’outil d’administration de site Web open source chinois Antsword, comme l’a révélé l’agent utilisateur utilisé pour les installer sur des serveurs compromis.
Atténuation disponible
Redmond a également confirmé les mesures d’atténuation partagées hier par GTSC, dont les chercheurs en sécurité ont également signalé les deux failles à Microsoft en privé via le Initiative Zero Day il y a trois semaines.
“Les clients Microsoft Exchange sur site doivent examiner et appliquer les instructions de réécriture d’URL suivantes et bloquer les ports Remote PowerShell exposés”, a ajouté Microsoft.
“L’atténuation actuelle consiste à ajouter une règle de blocage dans “Gestionnaire IIS -> Site Web par défaut -> Découverte automatique -> Réécriture d’URL -> Actions” pour bloquer les modèles d’attaque connus.”
Pour appliquer l’atténuation aux serveurs vulnérables, vous devrez suivre les étapes suivantes :
- Ouvrez le gestionnaire IIS.
- Développez le site Web par défaut.
- Sélectionnez Découverte automatique.
- Dans l’affichage des fonctionnalités, cliquez sur Réécriture d’URL.
- Dans le volet Actions sur le côté droit, cliquez sur Ajouter des règles.
- Sélectionnez Demander le blocage et cliquez sur OK.
- Ajoutez la chaîne “.*autodiscover.json.*@.*Powershell.*” (hors guillemets) et cliquez sur OK.
- Développez la règle et sélectionnez la règle avec le modèle “.*autodiscover.json.*@.*Powershell.*” et cliquez sur Modifier sous Conditions.
- Modifiez l’entrée de condition de {URL} à {REQUEST_URI}
Étant donné que les pirates peuvent également accéder à PowerShell Remoting sur des serveurs Exchange exposés et vulnérables pour l’exécution de code à distance via l’exploitation CVE-2022-41082, Microsoft conseille également aux administrateurs de bloquer les ports Remote PowerShell suivants pour empêcher les attaques :
GTSC a déclaré hier que les administrateurs qui souhaitent vérifier si leurs serveurs Exchange ont déjà été compromis peuvent exécuter la commande PowerShell suivante pour analyser les fichiers journaux IIS à la recherche d’indicateurs de compromis :
Get-ChildItem -Recurse -Path -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover.json.*@.*200'