hamc-alpha
Goto Top

Zero-Day Exploit in the Wild - Exchange

WARNUNG: NEUE ANGRIFFSKAMPAGNE NUTZTE EINE NEUE 0-DAY-RCE-SCHWACHSTELLE AUF MICROSOFT EXCHANGE SERVER AUS


Anfang August 2022 entdeckte das SOC-Team von GTSC im Rahmen von Sicherheitsüberwachungs- und Incident-Response-Diensten, dass eine kritische Infrastruktur angegriffen wurde, und zwar speziell deren Microsoft Exchange-Anwendung. Während der Untersuchung stellten die Experten des Blue Teams von GTSC fest, dass der Angriff eine unveröffentlichte Exchange-Sicherheitslücke, d.h. eine 0-Day-Schwachstelle, ausnutzte, und erstellten sofort einen Plan zur vorübergehenden Eindämmung. Gleichzeitig begannen die Experten des Red Teams damit, den dekompilierten Code von Exchange zu untersuchen und zu debuggen, um die Sicherheitslücke und den Exploit-Code zu finden. Dank der Erfahrung bei der Suche nach dem vorherigen 1-Tages-Exploit für Exchange verfügt das RedTeam über ein umfassendes Verständnis der Codeflüsse und Verarbeitungsmechanismen von Exchange, so dass die Forschungszeit verkürzt und die Sicherheitslücke schnell aufgedeckt werden konnte. Die Schwachstelle stellt sich als so kritisch heraus, dass sie dem Angreifer erlaubt, RCE auf dem kompromittierten System durchzuführen


Original Link inkl.IOCs unten am Beitrag

https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0 ...

Content-ID: 4104666809

Url: https://administrator.de/contentid/4104666809

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

kgborn
kgborn 30.09.2022 aktualisiert um 11:13:23 Uhr
Goto Top
Bist mir zuvorgekommen - ein paar Infos auf Deutsch

Exchange Server werden über 0-day Exploit angegriffen (29. Sept. 2022)

Ergänzung: Microsoft hat bzgl. der gemeldeten Exchange 0-day Schwachstelle reagiert und was veröffentlicht. Informationen und Einschätzungen (was wie betroffen ist) sowie ein Hinweis auf eine Diskrepanz beim Pattern, welches Microsoft zur Abschwächung angibt (imho fehlt ein .) in folgendem Artikel.

Microsofts Empfehlungen für die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333
Vision2015
Vision2015 30.09.2022 um 08:39:42 Uhr
Goto Top
Moin...

ob da auch MS365 betroffen ist face-smile

Frank
LauneBaer
LauneBaer 30.09.2022 um 10:25:03 Uhr
Goto Top
Zitat von @Vision2015:

Moin...

ob da auch MS365 betroffen ist face-smile

Frank

Natürlich wie immer nicht ;) Bin ich froh, wenn ich unseren Exchange bald bei 365 habe...
Vision2015
Vision2015 30.09.2022 um 10:49:48 Uhr
Goto Top
Moin
Zitat von @LauneBaer:

Zitat von @Vision2015:

Moin...

ob da auch MS365 betroffen ist face-smile

Frank

Natürlich wie immer nicht ;) Bin ich froh, wenn ich unseren Exchange bald bei 365 habe...
na ob das ein grund ist, froh zu sein..... ich weiß nicht face-smile

Frank
Vision2015
Vision2015 30.09.2022 um 12:20:31 Uhr
Goto Top
Moin...

für alle, die weitere Hilfe brauchen
Exchange Server Zero-Day Schwachstellen Fix

Frank
Drohnald
Drohnald 30.09.2022 um 21:37:26 Uhr
Goto Top
Ahoi,

weiß jemand wie das GTSC-Tool einen Befall meldet?
Es schreibt ja einen Log mit jeder Datei die gescannt wird, aber ich konnte keine Doku finden, wie das im "Erfolgsfall" aussieht.

Gruß
Drohnald
Vision2015
Vision2015 01.10.2022 um 09:07:59 Uhr
Goto Top
Moin...
MS hat es nun selber geschaft, mit EM den Rewrite Fix zu setzen!
lieber spät als nie face-smile

Frank
Vision2015
Vision2015 01.10.2022 um 11:35:57 Uhr
Goto Top
LauneBaer
LauneBaer 04.10.2022 um 09:14:08 Uhr
Goto Top
Guten Morgen,

neues Update

Wichtigste Info:

Will Dormann, a senior vulnerability analyst at ANALYGENCE, 
agrees with the finding and says that the '@' in Microsoft’s URL block “seems unnecessarily precise,   
and therefore insufficient.”

Jang’s finding has been tested by researchers at GTSC, 
who confirmed in a video today that Microsoft’s mitigation does not provide sufficient protection.

Instead of the URL block that Microsoft put forward, Jang provided a less specific alternative, 
designed to cover a wider set of attacks:

.*autodiscover\.json.*Powershell.*

Grüße
Deaxx84
Deaxx84 04.10.2022 um 14:10:37 Uhr
Goto Top
weiß jemand schon mehr, es gibt wohl doch eine andere Methode?
kgborn
kgborn 05.10.2022 um 20:17:53 Uhr
Goto Top
Damit es niemandem langweilig wird, an der Exchange Admin-Konsole - die URI Rewrite Regel, die von MS zum 5. Oktober 2022 per EMS ausgerollt und im Script berücksichtigt wurde, ist bereits wieder obsolete - die Zeichen im Pattern könnten ja encodiert sein. Ich habe mal einen Nachtrag mit neuem Pattern geschrieben - bis zur nächsten Korrektur.

Exchange Server: Microsofts bessert Lösungen für 0-day-Schutz nach (5. Oktober 2022)
Drohnald
Drohnald 05.10.2022 um 21:01:48 Uhr
Goto Top
Danke, ich war ja schon fast mit dem ersten Bier durch :D

Nein ernsthaft: danke fürs Update hier!
jsysde
jsysde 08.10.2022 um 08:26:09 Uhr
Goto Top
Moin zusammen.

Geht fröhlich weiter, letzte Nacht wurde die Rewrite-Rule per EMS erneut angepasst. Wer EMS nicht aktiviert hat (oder noch Ex2013 nutzt) sollte das ebenfalls aktualisiert EOMTv2 laufen lassen.

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reporte ...

Cheers,
jsysde
kgborn
kgborn 10.10.2022 um 13:17:36 Uhr
Goto Top
Zitat von @jsysde:

Moin zusammen.

Geht fröhlich weiter, letzte Nacht wurde die Rewrite-Rule per EMS erneut angepasst. Wer EMS nicht aktiviert hat (oder noch Ex2013 nutzt) sollte das ebenfalls aktualisiert EOMTv2 laufen lassen.


Vorher aber besser das EOMTv2 manuell im Quellcode prüfen - Kommentare bei mir im Blog deuten darauf hin, dass der letzte Schlenker mal wieder einen Bock ausrollt ...