ProxyNotShell: Nieuwe kwetsbaarheden in Microsoft Exchange Server (CVE-2022-41040, CVE-2022-41082)

Een op 29 september 2022 door GTSC bekendgemaakte set van twee nieuwe zero-day kwetsbaarheden voor Microsoft Exchange Servers – ProxyNotShell, wordt momenteel actief misbruikt door hackers. Er is op het moment van schrijven nog geen patch beschikbaar.

Microsoft heeft in de ochtend van 30 september 2022 in het Microsoft Security Response Center een ‘Customer Guidance’ artikel gepubliceerd waarin Microsoft bevestigt twee gerapporteerde zero-day kwetsbaarheden te onderzoeken. Het betreft CVE-2022-41040, een Server-Side Request Forgery (SSRF) kwetsbaarheid en CVE-2022-41082, een RCE (Remote Code Execution) kwetsbaarheid indien PowerShell toegankelijk is voor de aanvaller.

Microsoft is op de hoogte van beperkte gerichte aanvallen waarbij de kwetsbaarheden worden misbruikt om in de systemen van slachtoffers te komen. Bij deze aanvallen kan CVE-2022-41040 een ‘authenticated’ aanvaller (de aanvaller moet dus al beschikken over een succesvolle geslaagde login op de betreffende omgeving) in staat stellen om vervolgens CVE-2022-41082 te activeren. Opgemerkt dient te worden dat geauthenticeerde toegang tot de kwetsbare Exchange Server nodig is om één van de twee kwetsbaarheden met succes uit te buiten. De kwetsbaarheid maakt gebruik van de zogenaamde Autodiscover functionaliteit. URL’s die gebruik maken van Autodiscover hebben geen Multi-Factor Authenticatie (MFA) bescherming.

Microsoft werkt momenteel aan een patch.

Deze kwetsbaarheden lijken erg op kwetsbaarheden die vorig jaar werden gemeld, genaamd ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). De kwetsbaarheid is in de cybersecurity gemeenschap (zie Twitter @GossiTheDog) bestempeld als #ProxyNotShell.
Tot er een patch is, is het sterk aanbevolen om de richtlijnen te volgen voor mitigatie en detectie om klanten te helpen zichzelf tegen deze aanvallen te beschermen.

Microsoft Exchange Online heeft al detectie en mitigatie om klanten te beschermen. Alleen omgevingen met Microsoft Exchange Server (on-premise of hybride, versies Server 2013, Server 2016, Server 2019) zijn mogelijk kwetsbaar.


Update 3 oktober 2022:

Microsoft heeft een update gepubliceerd van het ‘Customer Guidance’artikel.


Als een aanvaller in staat is om de kwetsbaarheid succesvol uit te buiten, dan kan dit leiden tot het uitvoeren van ongeautoriseerde code op de getroffen systemen. Dit kan mogelijk erin resulteren dat de server en de aanwezige data gecompromitteerd raakt. Deze aanval kan uitgevoerd worden vanaf het internet waarbij authenticatie vereist is.
Vanuit een gecompromitteerde server kan een aanvaller mogelijk toegang verkrijgen tot de machine en mogelijk tot de rest van het netwerk.

Microsoft heeft in de ‘Customer Guidance’ rapportage een aantal concrete mitigerende maatregelen opgenomen (zie https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
NFIR beveelt ten zeerste aan deze maatregelen uit te voeren.
Op het moment van schrijven zijn er geen patches gepubliceerd door Microsoft – wel zijn in het artikel van Microsoft een aantal workarounds beschreven die hieronder zijn samengevat:

 

 

Indien u niet weet of u kwetsbare Outlook Web App services beschikbaar stelt op internet kunt u op Shodan.io website zoeken met:

http.component:"outlook web app" en door de filter toe te voegen
org:uworganisatienaam of ssl:"*uworganisatienaam"

Details van de mitigerende maatregelen kunt u vinden in het Microsoft artikel (zie https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/)

Het is belangrijk voor uw organisatie om ten minste de volgende stappen te nemen:

  1. Controleer de publiek beschikbare Indicators-of-Compromise (IoC’s) op uw systemen om vast te stellen of er systemen mogelijk gecompromitteerd zijn, of laat extern preventief onderzoek uitvoeren naar uw systemen.
  2. Voer de beschikbaar gestelde workarounds uit om, waar mogelijk, de impact te beperken.
  3. Bereid uw organisatie voor op de situatie dat er onverwacht patches uitgevoerd dienen te worden (buiten de reguliere update-timeframes) en pas patches gecontroleerd toe volgens de voor uw organisatie gebruikelijke procedure.
  4. Voer de beschikbare beveiligingsupdates/patches zodra deze gepubliceerd zijn direct uit op de systemen en verifieer of de updates daadwerkelijk toegepast zijn. In het geval dat u een externe IT-dienstleverancier heeft: Laat uw leverancier deze handelingen uitvoeren en laat deze de handelingen en het resultaat hiervan schriftelijk aan u bevestigen.

Heeft u systemen waarvan het risico groot is (bijvoorbeeld systemen met zeer gevoelige of bijzondere persoonsgegevens)? Zo ja, heeft u mogelijk indicaties dat het systeem niet direct gemitigeerd en/of geüpdatet kan worden? Overweeg dan om het systeem tijdelijk uit te schakelen totdat deze geüpdatet kan worden.

Als uw organisatie vermoedelijk het slachtoffer is geworden van een aanval, is het dringende advies om onderzoek uit te laten voeren naar de toedracht, in hoeverre aanvallers mogelijk andere systemen hebben gecompromitteerd en welke informatie mogelijk ongeautoriseerd geraadpleegd is.

  1. Koppel indien mogelijk de getroffen systemen los van het netwerk, maar laat deze aan staan (in verband met eventuele sporen zoals het vluchtige geheugen – RAM);
  2. Laat de getroffen systemen forensisch onderzoeken; zorg voor adequate back-ups;
  3. Reset uw wachtwoorden en gebruikersgegevens;
  4. Doe aangifte bij de Politie;
  5. Overweeg een melding te doen bij de Autoriteit Persoonsgegevens.

Heeft uw organisatie op dit moment een incident? Onze Computer Emergency Response Teams
(CERT) staan 24/7 voor organisaties klaar om te ondersteunen bij IT- Security Incidenten.
Bel dan 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen.

Meer informatie over onze Incident Response Dienst

Heeft uw organisatie op dit moment een incident? Onze Computer Emergency Response Teams (CERT) staan 24/7 voor organisaties klaar om te ondersteunen bij IT- Security Incidenten.

Bel dan 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen.  Hier vindt u meer informatie over onze Incident Response dienst.

Disclaimer: NFIR heeft er alles aan gedaan om deze informatie accuraat en betrouwbaar te maken. De verstrekte informatie is echter zonder enige garantie van welke aard dan ook en het gebruik ervan is geheel voor risico van de gebruiker. NFIR aanvaardt geen enkele verantwoordelijkheid of aansprakelijkheid voor de juistheid, de inhoud, de volledigheid, de rechtmatigheid of de betrouwbaarheid van de verstrekte informatie.

Scroll naar top