Forskare vid ett vietnamesiskt säkerhetsföretag vid namn GTSC sa att kinesiska hackare utnyttjar två nolldagarsbuggar i Microsofts Exchange-servrar, vilket leder till en RCE-attack.
Dessa är ProxyShell-sårbarheter som Microsoft inte har erkänt ännu, så ett spårnings-CVE-ID har inte ställts in. Under tiden delade forskarna som såg dem med Microsoft för en officiell patch och gav också en tillfällig lösning för systemadministratörerna fram till dess.
RCE-bugg i Exchange-servrar
Sedan tidigare i år har Microsoft Exchange-servrar varit några av de ofta riktade systemen på grund av att de har ett antal nolldagssårbarheter. Nyligen, vi har sett två nolldagarsbuggar rapporterade av GTSC – ett vietnamesiskt säkerhetsföretag som delade sina resultat med Microsoft genom sitt Zero Day Initiative.
???? Det dyker upp rapporter om att en ny nolldag finns i Microsoft Exchange och att den aktivt utnyttjas i det vilda ????
Jag kan bekräfta att ett betydande antal Exchange-servrar har backdoors – inklusive en honeypot.
Tråd för att spåra problemet följer:
— Kevin Beaumont (@GossiTheDog) 29 september 2022
Enligt det är Exchange-servrarna infekterade av två nolldagarsbuggar – angående ProxyShell – och leder till en fjärrkörningsattack. Forskare noterade aktiva utnyttjande av dessa och kopplade dem till en kinesisk grupp som citerade webbskalen och användaragenterna de använder i processen.
De berättade vidare att hackarna kedjar ihop ett par nolldagar för att distribuera sina Chopper-webbskal på komprometterade servrar – för att få uthållighet och datastöld och till och med flytta i sidled till andra system i offrens nätverk.
Även om de delade dessa resultat med Microsoft för tre veckor sedan, har företaget ännu inte erkänt och kommit med en patch. Tills dess har GTSC tilldelat ett spårnings-ID som ZDI-CAN-18333 och ZDI-CAN-18802 till de två sårbarheterna, med svårighetspoäng på 8,8 respektive 6,3.
Kort efter deras avslöjande bekräftade TrendMicro inlämningen genom en säkerhetsrådgivning och lade till upptäckter för dessa nolldagar till sina IPS N-Platform-, NX-Platform- eller TPS-produkter.
Tills Microsoft kommer med en lämplig patchuppdatering, delade GTSC tillfällig begränsning för Exchange-servrarnas administratörer, enligt följande;
- I Autodiscover at FrontEnd, välj fliken URL Rewrite och sedan Begär blockering.
- Lägg till strängen “” till URL-sökvägen.
- Villkorsinmatning: Välj {REQUEST_URI}
Om du är en systemadministratör och vill kontrollera om din server har äventyrats av dessa buggar, prova följande PowerShell-kommando för att skanna IIS-loggfilerna;
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200