14
Zero-Day Exploit in the Wild - Exchange
WARNUNG: NEUE ANGRIFFSKAMPAGNE NUTZTE EINE NEUE 0-DAY-RCE-SCHWACHSTELLE AUF MICROSOFT EXCHANGE SERVER AUS
Anfang August 2022 entdeckte das SOC-Team von GTSC im Rahmen von Sicherheitsüberwachungs- und Incident-Response-Diensten, dass eine kritische Infrastruktur angegriffen wurde, und zwar speziell deren Microsoft Exchange-Anwendung. Während der Untersuchung stellten die Experten des Blue Teams von GTSC fest, dass der Angriff eine unveröffentlichte Exchange-Sicherheitslücke, d.h. eine 0-Day-Schwachstelle, ausnutzte, und erstellten sofort einen Plan zur vorübergehenden Eindämmung. Gleichzeitig begannen die Experten des Red Teams damit, den dekompilierten Code von Exchange zu untersuchen und zu debuggen, um die Sicherheitslücke und den Exploit-Code zu finden. Dank der Erfahrung bei der Suche nach dem vorherigen 1-Tages-Exploit für Exchange verfügt das RedTeam über ein umfassendes Verständnis der Codeflüsse und Verarbeitungsmechanismen von Exchange, so dass die Forschungszeit verkürzt und die Sicherheitslücke schnell aufgedeckt werden konnte. Die Schwachstelle stellt sich als so kritisch heraus, dass sie dem Angreifer erlaubt, RCE auf dem kompromittierten System durchzuführen
Original Link inkl.IOCs unten am Beitrag
https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0 ...
Anfang August 2022 entdeckte das SOC-Team von GTSC im Rahmen von Sicherheitsüberwachungs- und Incident-Response-Diensten, dass eine kritische Infrastruktur angegriffen wurde, und zwar speziell deren Microsoft Exchange-Anwendung. Während der Untersuchung stellten die Experten des Blue Teams von GTSC fest, dass der Angriff eine unveröffentlichte Exchange-Sicherheitslücke, d.h. eine 0-Day-Schwachstelle, ausnutzte, und erstellten sofort einen Plan zur vorübergehenden Eindämmung. Gleichzeitig begannen die Experten des Red Teams damit, den dekompilierten Code von Exchange zu untersuchen und zu debuggen, um die Sicherheitslücke und den Exploit-Code zu finden. Dank der Erfahrung bei der Suche nach dem vorherigen 1-Tages-Exploit für Exchange verfügt das RedTeam über ein umfassendes Verständnis der Codeflüsse und Verarbeitungsmechanismen von Exchange, so dass die Forschungszeit verkürzt und die Sicherheitslücke schnell aufgedeckt werden konnte. Die Schwachstelle stellt sich als so kritisch heraus, dass sie dem Angreifer erlaubt, RCE auf dem kompromittierten System durchzuführen
Original Link inkl.IOCs unten am Beitrag
https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0 ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4104666809
Url: https://administrator.de/contentid/4104666809
Printed on: April 23, 2024 at 19:04 o'clock
14 Comments
Latest comment
Bist mir zuvorgekommen - ein paar Infos auf Deutsch
Exchange Server werden über 0-day Exploit angegriffen (29. Sept. 2022)
Ergänzung: Microsoft hat bzgl. der gemeldeten Exchange 0-day Schwachstelle reagiert und was veröffentlicht. Informationen und Einschätzungen (was wie betroffen ist) sowie ein Hinweis auf eine Diskrepanz beim Pattern, welches Microsoft zur Abschwächung angibt (imho fehlt ein .) in folgendem Artikel.
Microsofts Empfehlungen für die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333
Exchange Server werden über 0-day Exploit angegriffen (29. Sept. 2022)
Ergänzung: Microsoft hat bzgl. der gemeldeten Exchange 0-day Schwachstelle reagiert und was veröffentlicht. Informationen und Einschätzungen (was wie betroffen ist) sowie ein Hinweis auf eine Diskrepanz beim Pattern, welches Microsoft zur Abschwächung angibt (imho fehlt ein .) in folgendem Artikel.
Microsofts Empfehlungen für die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333
2
Moin...
ob da auch MS365 betroffen ist
Frank
ob da auch MS365 betroffen ist
Frank
Natürlich wie immer nicht ;) Bin ich froh, wenn ich unseren Exchange bald bei 365 habe...
Moin
Frank
Zitat von @LauneBaer:
Natürlich wie immer nicht ;) Bin ich froh, wenn ich unseren Exchange bald bei 365 habe...
na ob das ein grund ist, froh zu sein..... ich weiß nicht Natürlich wie immer nicht ;) Bin ich froh, wenn ich unseren Exchange bald bei 365 habe...
Frank
12
Ahoi,
weiß jemand wie das GTSC-Tool einen Befall meldet?
Es schreibt ja einen Log mit jeder Datei die gescannt wird, aber ich konnte keine Doku finden, wie das im "Erfolgsfall" aussieht.
Gruß
Drohnald
weiß jemand wie das GTSC-Tool einen Befall meldet?
Es schreibt ja einen Log mit jeder Datei die gescannt wird, aber ich konnte keine Doku finden, wie das im "Erfolgsfall" aussieht.
Gruß
Drohnald
Moin...
MS hat es nun selber geschaft, mit EM den Rewrite Fix zu setzen!
lieber spät als nie
Frank
MS hat es nun selber geschaft, mit EM den Rewrite Fix zu setzen!
lieber spät als nie
Frank
Guten Morgen,
neues Update
Wichtigste Info:
Grüße
neues Update
Wichtigste Info:
Will Dormann, a senior vulnerability analyst at ANALYGENCE,
agrees with the finding and says that the '@' in Microsoft’s URL block “seems unnecessarily precise,
and therefore insufficient.”
Jang’s finding has been tested by researchers at GTSC,
who confirmed in a video today that Microsoft’s mitigation does not provide sufficient protection.
Instead of the URL block that Microsoft put forward, Jang provided a less specific alternative,
designed to cover a wider set of attacks:
.*autodiscover\.json.*Powershell.*Grüße
weiß jemand schon mehr, es gibt wohl doch eine andere Methode?
Damit es niemandem langweilig wird, an der Exchange Admin-Konsole - die URI Rewrite Regel, die von MS zum 5. Oktober 2022 per EMS ausgerollt und im Script berücksichtigt wurde, ist bereits wieder obsolete - die Zeichen im Pattern könnten ja encodiert sein. Ich habe mal einen Nachtrag mit neuem Pattern geschrieben - bis zur nächsten Korrektur.
Exchange Server: Microsofts bessert Lösungen für 0-day-Schutz nach (5. Oktober 2022)
Exchange Server: Microsofts bessert Lösungen für 0-day-Schutz nach (5. Oktober 2022)
Danke, ich war ja schon fast mit dem ersten Bier durch :D
Nein ernsthaft: danke fürs Update hier!
Nein ernsthaft: danke fürs Update hier!
Moin zusammen.
Geht fröhlich weiter, letzte Nacht wurde die Rewrite-Rule per EMS erneut angepasst. Wer EMS nicht aktiviert hat (oder noch Ex2013 nutzt) sollte das ebenfalls aktualisiert EOMTv2 laufen lassen.
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reporte ...
Cheers,
jsysde
Geht fröhlich weiter, letzte Nacht wurde die Rewrite-Rule per EMS erneut angepasst. Wer EMS nicht aktiviert hat (oder noch Ex2013 nutzt) sollte das ebenfalls aktualisiert EOMTv2 laufen lassen.
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reporte ...
Cheers,
jsysde
Zitat von @jsysde:
Moin zusammen.
Geht fröhlich weiter, letzte Nacht wurde die Rewrite-Rule per EMS erneut angepasst. Wer EMS nicht aktiviert hat (oder noch Ex2013 nutzt) sollte das ebenfalls aktualisiert EOMTv2 laufen lassen.
Moin zusammen.
Geht fröhlich weiter, letzte Nacht wurde die Rewrite-Rule per EMS erneut angepasst. Wer EMS nicht aktiviert hat (oder noch Ex2013 nutzt) sollte das ebenfalls aktualisiert EOMTv2 laufen lassen.
Vorher aber besser das EOMTv2 manuell im Quellcode prüfen - Kommentare bei mir im Blog deuten darauf hin, dass der letzte Schlenker mal wieder einen Bock ausrollt ...
