آسیب‌پذیری‌های CVE-2022–41040 و CVE-2022–41082

معرفی اکسپلویت

درجه آسیب‌پذیری CVE-2022–41040: 6.3
نوع آسیب‌پذیری: SSRF

درجه آسیب‌پذیری CVE-2022–41082: 8.8
نوع آسیب‌پذیری: RCE

پلتفرم آسیب‌پذیر: ویندوز سرور 2012 و 2016 و 2019

تاریخ آخرین وصله امنیتی ارائه شده: 08-11-2022

مقدمه

کلیت این آسیب‌پذیری مشابه آسیب‌پذیری proxyshell است که برای سال 2021 بوده و شامل 3 cve زیر می‌باشد:

CVE-2021-34473 (KB5001779
CVE-2021-34523 (KB5001779
CVE-2021-31207 (KB5003435) •

با این تفاوت که در آسیب‌پذیری سال 2022 نیاز به احراز هویت وجود دارد، گفتنی است که مهاجمان از دو آسیب‌پذیری 41040 و 41082 به منظور ایجاد webshell در سیستم قربانی استفاده می‌نمایند.

نحوه شناسایی امکان وجود آسیب‌پذیری

از آنجایی که روند کلی آسیب‌پذیری مذکور مشابه نسخه 2021 آن می‌باشد در هنگام بررسی شواهد، مشاهده موارد زیر می‌تواند مشکوک باشد:

  • وجود پردازه ای با نام “*\w3wp.exe” که حاوی کامندهای زیر باشد:
[“*&ipconfig&echo*”, “*&quser&echo*”, “*&whoami&echo*”, “*&c:&echo*”, “*&cd&echo*”, “*&dir&echo*”, “*&echo [E]*”, “*&echo [S]*”]
  • وجود زیرپردازه‌های مشکوک در [“*\WerFault.exe”, “*\csc.exe”] با پردازه پدر w3wp.exe
  • در برخی از حملات مشاهده شده مهاجمان برای دانلود webshellها از ابزار certutil استفاده می‌کنند، بنابراین وجود پردازه “*\certutil.exe” که شامل کامندهایی نظیر [“* -urlcache *”, “* /urlcache *”] باشد باید مورد بررسی قرار گیرد.
  • ایجاد فایل‌های مشکوک با event id =11 در مسیرهای معمولی که مهاجمان جهت دانلود پی‌لود استفاده می‌کنند:

[“C:\Users\Public*”, “C:\PerfLogs*”, “C:\root*”]

 

Screenshot from 2022-12-24 11-42-58.png

 

  • وجود لاگ‌هایی نظیر لاگ زیر در iis:

autodiscover/autodiscover.json?@evil.com/<Exchange-backend endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com

  • وجود webshellهایی با محتوای غالبا مبهم شده در مسیرهایی نظیر جدول زیر:

 

Screenshot from 2022-12-24 11-41-54.png

 

  • وجود dll یا فایل‌های مشکوک در آدرس زیر :

C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy

  • در دایرکتوری‌هایی نظیر موارد ذکر شده:

/ews/web/webconfig/
/owa/auth/webcccsd/
/ews/auto/
/ews/web/api/
/owa/auth/Current/script/

ملاحظات امنیتی لازم جهت کاهش امکان وقوع حمله

بهترین راه حل برای مصون ماندن کاربران از این آسیب‌پذیری، نصب آپدیت‌های ارائه شده توسط مایکروسافت از لینک زیر می‌باشد:

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045

∗ در صورتی که امکان نصب آپدیت‌ها وجود ندارد راهکارهای جایگزین به شرح زیر می‌باشد:

  1.  URL Rewrite rule mitigation
  2. غیرفعال کردن دسترسی کاربران از راه دور به پردازه powershell

در این حالت توصیه می‌شود که کاربران Exchange Server هم URL Rewrite rule mitigation را که برای CVE-2022-41040 ارائه شده انجام دهند و هم دسترسی کنترل از راه دور PowerShell را به منظور کاهش احتمال نفوذ (CVE-2022-41082) افرادی که ادمین نیستند غیرفعال نمایند.

برای URL Rewrite rule mitigation مایکروسافت 3 راهکار در اختیار کاربران قرار داده که بسته به شرایط و نوع سیاست‌های سازمان لازم است یکی از 3 مورد را به جهت اعمال قوانین در پیکربندی URL Rewrite به کار گرفت:

  •  راهکار اول:

با مراجه به تنظیمات iis به صورت زیر عمل شود:

¤ انتخاب Default Web Site
¤ از پنجره نمایش داده شده URL Rewrite انتخاب شود:

 

 

¤ از سمت راست بخش action گزینه Add Rule(s) :

 

 

¤ انتخاب Request Blocking و کلیک بر روی گزینه ok:

 

 

¤ اضافه کردن رشته زیر در بخش درخواست های بلاک شده:

“(?=.*autodiscover)(?=.*powershell)”

¤ از بخش Using گزینه Regular Expression انتخاب شود.

 

 

¤ از بخش how to block گزینه Abort Request انتخاب شود و گزینه ok.
¤ با انتخاب rule ایجاد شده و انتخاب edit از بخش conditions:

 

     

    ¤ شرط ورودی را از {URL} به {UrlDecode:{REQUEST_URI}} تغییر دهید:

     

     

    •  راهکار دوم:
      استفاده از اسکریپت EOMTv2 که در لینک زیر ارائه شده است و به صورت خودکار تغییرات گفته شده در بخش قبل را اعمال می کند.
      لینک اسکریپت

    ttps://aka.ms/EOMTv2

    • راهکار سوم:
      برای کاربرانی که Exchange Emergency Mitigation Service (EEMS) آن ها فعال است، روال گفته شده در راهکار اول به صورت خودکار انجام می‌شود و نیاز به اقدامی از جانب کاربر نیست.

    نحوه وصله آسیب‌پذیری

    لینک به روزرسانی‌های ارائه شده برای CVE-2022–41040 و CVE-2022–41082:

    Exchange Server 2013 CU23
    Exchange Server 2016 CU22 and CU23 ♦
    2Exchange Server 2019 CU11 and CU12 ♦

     

     منابع:

    https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045

    https://www.logpoint.com/en/blog/proxynotshell-detecting-exploitation-of-zero-day-exchange-server-vulnerabilities/

    https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

    https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

      مقاله برای 0 نفر مفید بود.