Gli hackers stanno sfruttando bug zero-day di Microsoft Exchange ancora da rivelare che consentono l’esecuzione di codice in modalità remota, secondo le affermazioni fatte dai ricercatori di sicurezza dell’azienda vietnamita GTSC, che per prima ha individuato e segnalato gli attacchi.
Venerdì mattina, Microsoft ha confermato che le due nuove vulnerabilità zero-day vengono utilizzate negli attacchi e vengono tracciate come CVE-2022-41040 e CVE-2022-41082. Hanno anche confermato che le mitigazioni di GTSC (condivise di seguito) sono riuscite a bloccare gli attacchi.
Gli hackers stanno concatenando la coppia di zero-day per distribuire Chinese Chopper web shells su server compromessi per la persistenza e il furto di dati, oltre a spostarsi lateralmente su altri sistemi sulle reti delle vittime.
“La vulnerabilità risulta essere così critica da consentire all’attaccante di eseguire RCE sul sistema compromesso”, hanno affermato i ricercatori .
GTSC sospetta che un gruppo hacker cinese sia responsabile degli attacchi basati sulla codepage delle shell web.
L’user agent utilizzato per installare le shell web appartiene anche ad Antsword, uno strumento di amministrazione di siti Web open source basato in cinese con supporto per la gestione della shell web.
Finora Microsoft non ha divulgato alcuna informazione relativa ai due bug di sicurezza e deve ancora assegnare un ID CVE per rintracciarli.
I ricercatori hanno segnalato le vulnerabilità a Microsoft in privato tre settimane fa attraverso la Zero Day Initiative, che le traccia come ZDI-CAN-18333 e ZDI-CAN-18802 dopo che i suoi analisti hanno convalidato i problemi.
“GTSC ha immediatamente presentato la vulnerabilità alla Zero Day Initiative (ZDI) per collaborare con Microsoft in modo che una patch potesse essere preparata il prima possibile”, hanno aggiunto. “ZDI ha verificato e riconosciuto 2 bug, i cui punteggi CVSS sono 8,8 e 6,3.”
Giovedì sera Trend Micro ha rilasciato un avviso di sicurezza confermando di aver presentato a Microsoft le due nuove vulnerabilità zero-day di Microsoft Exchange scoperte da GTSC.
L’azienda ha già aggiunto i rilevamenti per questi zero-day ai suoi prodotti IPS N-Platform, NX-Platform o TPS.
GTSC ha rilasciato pochissimi dettagli su questi bug zero-day. Tuttavia, i suoi ricercatori hanno rivelato che le richieste utilizzate in questa catena di exploit sono simili a quelle utilizzate negli attacchi mirati alle vulnerabilità di ProxyShell.
“Il numero di versione di questi server Exchange ha mostrato che l’ultimo aggiornamento era già installato, quindi uno sfruttamento utilizzando la vulnerabilità di Proxyshell era impossibile”, hanno affermato i ricercatori.
Mitigazione temporanea disponibile
Fino a quando Microsoft non rilascerà aggiornamenti di sicurezza per affrontare i due zero-day, GTSC ha condiviso una mitigazione temporanea che bloccherebbe i tentativi di attacco aggiungendo una nuova regola del server IIS utilizzando il modulo URL Rewrite Rule:
In individuazione automatica in FrontEnd, seleziona la scheda Riscrittura URL, quindi Richiedi blocco.
Aggiungi la stringa ” .*autodiscover\.json.*\@.*Powershell.*” al percorso dell’URL.
Input condizione: scegli {REQUEST_URI}
“Raccomandiamo a tutte le organizzazioni/imprese in tutto il mondo che utilizzano Microsoft Exchange Server di controllare, rivedere e applicare la mitigazione temporanea di cui sopra il prima possibile per evitare potenziali gravi danni”, ha aggiunto GTSC.
Gli amministratori che desiderano verificare se i loro server Exchange sono già stati compromessi utilizzando questo exploit possono eseguire il comando PowerShell seguente per eseguire la scansione dei file di registro IIS alla ricerca di indicatori di compromissione:
Get-ChildItem -Recurse -Path -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200’