Όπως ανακάλυψαν ερευνητές ασφάλειας από το βιετναμέζικο δίκτυο κυβερνοασφάλειας GTSC, κακόβουλοι παράγοντες εκμεταλλεύονται δύο σφάλματα zero-day του Microsoft Exchange, για να πετύχουν απομακρυσμένη εκτέλεση κώδικα.
Δείτε επίσης: WPGateway: Βρέθηκε σοβαρό zero-day bug στο WordPress plugin
Οι εισβολείς χρησιμοποιούν τα zero-day για να αναπτύξουν τα κελύφη ιστού του Chinese Chopper σε παραβιασμένους διακομιστές για επιμονή και κλοπή δεδομένων, καθώς και να μετακινηθούν πλευρικά σε άλλα συστήματα στα δίκτυα των θυμάτων.
«Η ευπάθεια στο Microsoft Exchange αποδεικνύεται τόσο κρίσιμη που επιτρέπει στον εισβολέα να κάνει RCE στο παραβιασμένο σύστημα», είπαν οι ερευνητές.
Το GTSC υποπτεύεται ότι μια κινεζική ομάδα hacking είναι υπεύθυνη για τις επιθέσεις, που βασίζονται στο code page του κελύφους Ιστού, έναν χαρακτήρα της Microsoft για απλοποιημένα κινέζικα.
Ο παράγοντας χρήστη που χρησιμοποιείται για την εγκατάσταση των κελύφους Ιστού ανήκει επίσης στο Antsword, ένα εργαλείο διαχείρισης ιστότοπου ανοιχτού κώδικα με βάση την Κίνα και με υποστήριξη διαχείρισης κελύφους ιστού.
Η Microsoft δεν έχει αποκαλύψει καμία πληροφορία σχετικά με τα δύο ελαττώματα ασφαλείας μέχρι στιγμής και δεν έχει ακόμη εκχωρήσει ένα αναγνωριστικό CVE για την παρακολούθηση τους.
Οι ερευνητές ανέφεραν τις ευπάθειες στη Microsoft ιδιωτικά πριν από τρεις εβδομάδες μέσω του Zero Day Initiative, το οποίο τις παρακολουθεί ως ZDI-CAN-18333 και ZDI-CAN-18802 αφού οι αναλυτές της επικύρωσαν τα ζητήματα.
“Η GTSC υπέβαλε αμέσως την ευπάθεια στο Zero Day Initiative (ZDI) για να συνεργαστεί με τη Microsoft, ώστε να προετοιμαστεί μια ενημέρωση κώδικα το συντομότερο δυνατό“, πρόσθεσαν. “Η ZDI επαλήθευσε και αναγνώρισε 2 σφάλματα, των οποίων οι βαθμολογίες CVSS είναι 8,8 και 6,3.“
Δείτε ακόμα: Η Apple διορθώνει zero-day bug που επηρεάζει iPhone και Mac
Η εταιρεία έχει ήδη προσθέσει ανιχνεύσεις για αυτά τα zero-day στα προϊόντα IPS N-Platform, NX-Platform ή TPS.
Το GTSC έχει δημοσιεύσει πολύ λίγες λεπτομέρειες σχετικά με αυτά τα σφάλματα zero-day. Ωστόσο, οι ερευνητές του αποκάλυψαν ότι τα αιτήματα που χρησιμοποιούνται σε αυτήν την αλυσίδα εκμετάλλευσης είναι παρόμοια με αυτά που χρησιμοποιούνται σε επιθέσεις που στοχεύουν τα τρωτά σημεία του ProxyShell.
Το exploit λειτουργεί σε δύο στάδια:
Αιτήματα με παρόμοια μορφή με την ευπάθεια του ProxyShell:
autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com.
Χρήση του παραπάνω συνδέσμου για πρόσβαση σε ένα στοιχείο στο backend όπου θα μπορούσε να εφαρμοστεί το RCE.
“Ο αριθμός έκδοσης αυτών των διακομιστών Exchange έδειξε ότι η τελευταία ενημέρωση είχε ήδη εγκατασταθεί, επομένως η εκμετάλλευση με χρήση ευπάθειας Proxyshell ήταν αδύνατη“, είπαν οι ερευνητές.
Μέχρι να κυκλοφορήσει η Microsoft ενημερώσεις ασφαλείας για την αντιμετώπιση των δύο zero-day, το GTSC μοιράστηκε προσωρινό μετριασμό που θα εμπόδιζε τις προσπάθειες επίθεσης προσθέτοντας έναν νέο κανόνα διακομιστή IIS χρησιμοποιώντας τη λειτουργική μονάδα URL Rewrite Rule:
Στο Autodiscover στο FrontEnd, επιλέξτε την καρτέλα URL Rewrite και στη συνέχεια, Request Blocking.
Προσθέστε τη συμβολοσειρά “.*autodiscover\.json.*\@.*Powershell.*” στη διαδρομή URL.
Είσοδος συνθήκης: Επιλέξτε {REQUEST_URI}
Δείτε επίσης: Η QNAP διορθώνει zero-day bug που χρησιμοποιείται από το DeadBolt ransomware
Οι διαχειριστές που θέλουν να ελέγξουν εάν οι διακομιστές Exchange τους έχουν ήδη παραβιαστεί χρησιμοποιώντας αυτό το exploit μπορούν να εκτελέσουν την ακόλουθη εντολή PowerShell για να σαρώσουν αρχεία καταγραφής IIS για ενδείξεις παραβίασης:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200’
