hamc-alpha
Goto Top

Zero-Day Exploit in the Wild - Exchange

WARNUNG: NEUE ANGRIFFSKAMPAGNE NUTZTE EINE NEUE 0-DAY-RCE-SCHWACHSTELLE AUF MICROSOFT EXCHANGE SERVER AUS


Anfang August 2022 entdeckte das SOC-Team von GTSC im Rahmen von Sicherheitsüberwachungs- und Incident-Response-Diensten, dass eine kritische Infrastruktur angegriffen wurde, und zwar speziell deren Microsoft Exchange-Anwendung. Während der Untersuchung stellten die Experten des Blue Teams von GTSC fest, dass der Angriff eine unveröffentlichte Exchange-Sicherheitslücke, d.h. eine 0-Day-Schwachstelle, ausnutzte, und erstellten sofort einen Plan zur vorübergehenden Eindämmung. Gleichzeitig begannen die Experten des Red Teams damit, den dekompilierten Code von Exchange zu untersuchen und zu debuggen, um die Sicherheitslücke und den Exploit-Code zu finden. Dank der Erfahrung bei der Suche nach dem vorherigen 1-Tages-Exploit für Exchange verfügt das RedTeam über ein umfassendes Verständnis der Codeflüsse und Verarbeitungsmechanismen von Exchange, so dass die Forschungszeit verkürzt und die Sicherheitslücke schnell aufgedeckt werden konnte. Die Schwachstelle stellt sich als so kritisch heraus, dass sie dem Angreifer erlaubt, RCE auf dem kompromittierten System durchzuführen


Original Link inkl.IOCs unten am Beitrag

https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0 ...

Content-Key: 4104666809

Url: https://administrator.de/contentid/4104666809

Printed on: December 4, 2022 at 20:12 o'clock

Member: kgborn
kgborn Sep 29, 2022, updated at Sep 30, 2022 at 09:13:23 (UTC)
Goto Top
Bist mir zuvorgekommen - ein paar Infos auf Deutsch

Exchange Server werden über 0-day Exploit angegriffen (29. Sept. 2022)

Ergänzung: Microsoft hat bzgl. der gemeldeten Exchange 0-day Schwachstelle reagiert und was veröffentlicht. Informationen und Einschätzungen (was wie betroffen ist) sowie ein Hinweis auf eine Diskrepanz beim Pattern, welches Microsoft zur Abschwächung angibt (imho fehlt ein .) in folgendem Artikel.

Microsofts Empfehlungen für die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333
Member: Vision2015
Vision2015 Sep 30, 2022 at 06:39:42 (UTC)
Goto Top
Moin...

ob da auch MS365 betroffen ist face-smile

Frank
Member: LauneBaer
LauneBaer Sep 30, 2022 at 08:25:03 (UTC)
Goto Top
Zitat von @Vision2015:

Moin...

ob da auch MS365 betroffen ist face-smile

Frank

Natürlich wie immer nicht ;) Bin ich froh, wenn ich unseren Exchange bald bei 365 habe...
Member: Vision2015
Vision2015 Sep 30, 2022 at 08:49:48 (UTC)
Goto Top
Moin
Zitat von @LauneBaer:

Zitat von @Vision2015:

Moin...

ob da auch MS365 betroffen ist face-smile

Frank

Natürlich wie immer nicht ;) Bin ich froh, wenn ich unseren Exchange bald bei 365 habe...
na ob das ein grund ist, froh zu sein..... ich weiß nicht face-smile

Frank
Member: Vision2015
Vision2015 Sep 30, 2022 at 10:20:31 (UTC)
Goto Top
Moin...

für alle, die weitere Hilfe brauchen
Exchange Server Zero-Day Schwachstellen Fix

Frank
Member: Drohnald
Drohnald Sep 30, 2022 at 19:37:26 (UTC)
Goto Top
Ahoi,

weiß jemand wie das GTSC-Tool einen Befall meldet?
Es schreibt ja einen Log mit jeder Datei die gescannt wird, aber ich konnte keine Doku finden, wie das im "Erfolgsfall" aussieht.

Gruß
Drohnald
Member: Vision2015
Vision2015 Oct 01, 2022 at 07:07:59 (UTC)
Goto Top
Moin...
MS hat es nun selber geschaft, mit EM den Rewrite Fix zu setzen!
lieber spät als nie face-smile

Frank
Member: Vision2015
Vision2015 Oct 01, 2022 at 09:35:57 (UTC)
Goto Top
Member: LauneBaer
LauneBaer Oct 04, 2022 at 07:14:08 (UTC)
Goto Top
Guten Morgen,

neues Update

Wichtigste Info:


Grüße
Member: Deaxx84
Deaxx84 Oct 04, 2022 at 12:10:37 (UTC)
Goto Top
weiß jemand schon mehr, es gibt wohl doch eine andere Methode?
Member: kgborn
kgborn Oct 05, 2022 at 18:17:53 (UTC)
Goto Top
Damit es niemandem langweilig wird, an der Exchange Admin-Konsole - die URI Rewrite Regel, die von MS zum 5. Oktober 2022 per EMS ausgerollt und im Script berücksichtigt wurde, ist bereits wieder obsolete - die Zeichen im Pattern könnten ja encodiert sein. Ich habe mal einen Nachtrag mit neuem Pattern geschrieben - bis zur nächsten Korrektur.

Exchange Server: Microsofts bessert Lösungen für 0-day-Schutz nach (5. Oktober 2022)
Member: Drohnald
Drohnald Oct 05, 2022 at 19:01:48 (UTC)
Goto Top
Danke, ich war ja schon fast mit dem ersten Bier durch :D

Nein ernsthaft: danke fürs Update hier!
Member: jsysde
jsysde Oct 08, 2022 at 06:26:09 (UTC)
Goto Top
Moin zusammen.

Geht fröhlich weiter, letzte Nacht wurde die Rewrite-Rule per EMS erneut angepasst. Wer EMS nicht aktiviert hat (oder noch Ex2013 nutzt) sollte das ebenfalls aktualisiert EOMTv2 laufen lassen.

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reporte ...

Cheers,
jsysde
Member: kgborn
kgborn Oct 10, 2022 at 11:17:36 (UTC)
Goto Top
Zitat von @jsysde:

Moin zusammen.

Geht fröhlich weiter, letzte Nacht wurde die Rewrite-Rule per EMS erneut angepasst. Wer EMS nicht aktiviert hat (oder noch Ex2013 nutzt) sollte das ebenfalls aktualisiert EOMTv2 laufen lassen.


Vorher aber besser das EOMTv2 manuell im Quellcode prüfen - Kommentare bei mir im Blog deuten darauf hin, dass der letzte Schlenker mal wieder einen Bock ausrollt ...