Zero-Day Exploit in the Wild - Exchange
WARNUNG: NEUE ANGRIFFSKAMPAGNE NUTZTE EINE NEUE 0-DAY-RCE-SCHWACHSTELLE AUF MICROSOFT EXCHANGE SERVER AUS
Anfang August 2022 entdeckte das SOC-Team von GTSC im Rahmen von Sicherheitsüberwachungs- und Incident-Response-Diensten, dass eine kritische Infrastruktur angegriffen wurde, und zwar speziell deren Microsoft Exchange-Anwendung. Während der Untersuchung stellten die Experten des Blue Teams von GTSC fest, dass der Angriff eine unveröffentlichte Exchange-Sicherheitslücke, d.h. eine 0-Day-Schwachstelle, ausnutzte, und erstellten sofort einen Plan zur vorübergehenden Eindämmung. Gleichzeitig begannen die Experten des Red Teams damit, den dekompilierten Code von Exchange zu untersuchen und zu debuggen, um die Sicherheitslücke und den Exploit-Code zu finden. Dank der Erfahrung bei der Suche nach dem vorherigen 1-Tages-Exploit für Exchange verfügt das RedTeam über ein umfassendes Verständnis der Codeflüsse und Verarbeitungsmechanismen von Exchange, so dass die Forschungszeit verkürzt und die Sicherheitslücke schnell aufgedeckt werden konnte. Die Schwachstelle stellt sich als so kritisch heraus, dass sie dem Angreifer erlaubt, RCE auf dem kompromittierten System durchzuführen
Original Link inkl.IOCs unten am Beitrag
https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0 ...
Anfang August 2022 entdeckte das SOC-Team von GTSC im Rahmen von Sicherheitsüberwachungs- und Incident-Response-Diensten, dass eine kritische Infrastruktur angegriffen wurde, und zwar speziell deren Microsoft Exchange-Anwendung. Während der Untersuchung stellten die Experten des Blue Teams von GTSC fest, dass der Angriff eine unveröffentlichte Exchange-Sicherheitslücke, d.h. eine 0-Day-Schwachstelle, ausnutzte, und erstellten sofort einen Plan zur vorübergehenden Eindämmung. Gleichzeitig begannen die Experten des Red Teams damit, den dekompilierten Code von Exchange zu untersuchen und zu debuggen, um die Sicherheitslücke und den Exploit-Code zu finden. Dank der Erfahrung bei der Suche nach dem vorherigen 1-Tages-Exploit für Exchange verfügt das RedTeam über ein umfassendes Verständnis der Codeflüsse und Verarbeitungsmechanismen von Exchange, so dass die Forschungszeit verkürzt und die Sicherheitslücke schnell aufgedeckt werden konnte. Die Schwachstelle stellt sich als so kritisch heraus, dass sie dem Angreifer erlaubt, RCE auf dem kompromittierten System durchzuführen
Original Link inkl.IOCs unten am Beitrag
https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0 ...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4104666809
Url: https://administrator.de/contentid/4104666809
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
14 Kommentare
Neuester Kommentar
Bist mir zuvorgekommen - ein paar Infos auf Deutsch
Exchange Server werden über 0-day Exploit angegriffen (29. Sept. 2022)
Ergänzung: Microsoft hat bzgl. der gemeldeten Exchange 0-day Schwachstelle reagiert und was veröffentlicht. Informationen und Einschätzungen (was wie betroffen ist) sowie ein Hinweis auf eine Diskrepanz beim Pattern, welches Microsoft zur Abschwächung angibt (imho fehlt ein .) in folgendem Artikel.
Microsofts Empfehlungen für die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333
Exchange Server werden über 0-day Exploit angegriffen (29. Sept. 2022)
Ergänzung: Microsoft hat bzgl. der gemeldeten Exchange 0-day Schwachstelle reagiert und was veröffentlicht. Informationen und Einschätzungen (was wie betroffen ist) sowie ein Hinweis auf eine Diskrepanz beim Pattern, welches Microsoft zur Abschwächung angibt (imho fehlt ein .) in folgendem Artikel.
Microsofts Empfehlungen für die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333
Natürlich wie immer nicht ;) Bin ich froh, wenn ich unseren Exchange bald bei 365 habe...
Moin
Frank
Zitat von @LauneBaer:
Natürlich wie immer nicht ;) Bin ich froh, wenn ich unseren Exchange bald bei 365 habe...
na ob das ein grund ist, froh zu sein..... ich weiß nicht Natürlich wie immer nicht ;) Bin ich froh, wenn ich unseren Exchange bald bei 365 habe...
Frank
Guten Morgen,
neues Update
Wichtigste Info:
Grüße
neues Update
Wichtigste Info:
Will Dormann, a senior vulnerability analyst at ANALYGENCE,
agrees with the finding and says that the '@' in Microsoft’s URL block “seems unnecessarily precise,
and therefore insufficient.”
Jang’s finding has been tested by researchers at GTSC,
who confirmed in a video today that Microsoft’s mitigation does not provide sufficient protection.
Instead of the URL block that Microsoft put forward, Jang provided a less specific alternative,
designed to cover a wider set of attacks:
.*autodiscover\.json.*Powershell.*
Grüße
Damit es niemandem langweilig wird, an der Exchange Admin-Konsole - die URI Rewrite Regel, die von MS zum 5. Oktober 2022 per EMS ausgerollt und im Script berücksichtigt wurde, ist bereits wieder obsolete - die Zeichen im Pattern könnten ja encodiert sein. Ich habe mal einen Nachtrag mit neuem Pattern geschrieben - bis zur nächsten Korrektur.
Exchange Server: Microsofts bessert Lösungen für 0-day-Schutz nach (5. Oktober 2022)
Exchange Server: Microsofts bessert Lösungen für 0-day-Schutz nach (5. Oktober 2022)
Moin zusammen.
Geht fröhlich weiter, letzte Nacht wurde die Rewrite-Rule per EMS erneut angepasst. Wer EMS nicht aktiviert hat (oder noch Ex2013 nutzt) sollte das ebenfalls aktualisiert EOMTv2 laufen lassen.
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reporte ...
Cheers,
jsysde
Geht fröhlich weiter, letzte Nacht wurde die Rewrite-Rule per EMS erneut angepasst. Wer EMS nicht aktiviert hat (oder noch Ex2013 nutzt) sollte das ebenfalls aktualisiert EOMTv2 laufen lassen.
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reporte ...
Cheers,
jsysde
Zitat von @jsysde:
Moin zusammen.
Geht fröhlich weiter, letzte Nacht wurde die Rewrite-Rule per EMS erneut angepasst. Wer EMS nicht aktiviert hat (oder noch Ex2013 nutzt) sollte das ebenfalls aktualisiert EOMTv2 laufen lassen.
Moin zusammen.
Geht fröhlich weiter, letzte Nacht wurde die Rewrite-Rule per EMS erneut angepasst. Wer EMS nicht aktiviert hat (oder noch Ex2013 nutzt) sollte das ebenfalls aktualisiert EOMTv2 laufen lassen.
Vorher aber besser das EOMTv2 manuell im Quellcode prüfen - Kommentare bei mir im Blog deuten darauf hin, dass der letzte Schlenker mal wieder einen Bock ausrollt ...