Il report di GTSC, unità di sicurezza informatica vietnamita, ha rilevato vulnerabilità zero-day ampiamente sfruttate in Microsoft Exchange, che consentono a un utente malintenzionato di eseguire attacchi RCE (esecuzione di codice remoto).
Indice degli argomenti
Importanti nuove vulnerabilità in Microsoft Exchange
Gli aggressori utilizzano la combinazione di bug sconosciuti per distribuire le shell web note come China Chopper su server compromessi per archiviare e rubare dati e per spostarsi verso altri sistemi nelle reti delle vittime colpite.
GTSC non ha confermato con certezza l’attribuzione per questa campagna malevola: tuttavia, in base alla codepage della shell web e alla codifica dei caratteri di Microsoft per il cinese semplificato, i ricercatori sospettano che dietro gli attacchi ci sia un APT cinese.
L’user agent utilizzato per installare le shell web è anche associato ad Antsword, uno strumento di amministrazione di siti Web open source (CMS) cinese con supporto proprio per la gestione delle shell web.
I bug non sono ancora stati risolti
Microsoft non ha ancora divulgato alcuna informazione sui due bug critici e non ha ancora assegnato loro un CVE ufficiale.
I ricercatori hanno notificato Microsoft delle vulnerabilità già tre settimane fa tramite il rapporto di sicurezza di GTSC in cui i bug vengono monitorati come ZDI-CAN-18333 e ZDI-CAN-18802 con un punteggio della scala CVSS (da 1 a 10) stimato in 8.8 e 6.3.
Anche Zero Day Initiative ha confermato i bug, poiché Trend Micro ha emesso un bollettino sulla sicurezza e ha aggiunto il rilevamento delle vulnerabilità ai suoi prodotti.
Neanche GTSC ha ancora rilasciato i dettagli tecnici delle nuove vulnerabilità. Tuttavia, i ricercatori hanno scoperto che le query utilizzate in questa catena di exploit sono simili a quelle utilizzate negli attacchi mirati alle vulnerabilità di ProxyShell.
Come difenderci dalle vulnerabilità in Microsoft Exchange
Fino a quando Microsoft non rilascerà correzioni per affrontare gli zero-day in questione, sarebbe utile seguire i consigli mitigazione dell’attacco forniti direttamente da GTSC. Innanzitutto, viene suggerito di aggiungere una nuova regola del server IIS utilizzando il modulo URL Rewrite Rule.
In Autodiscover su FrontEnd è poi necessario selezionare la scheda URL rewrite, quindi Richiedi blocco, poi aggiungere la stringa .*autodiscover\.json.*\@.*Powershell.* al percorso dell’URL. Nel campo relativo alla condizione è infine necessario selezionare {REQUEST_URI}.
Per verificare la possibile compromissione dei server di Exchange utilizzando gli zero-day rilevati, gli amministratori devono eseguire il comando di PowerShell seguente per analizzare i file di registro di IIS alla ricerca di indicatori di compromissione:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200’
