ProxyNotShell: Nieuwe kwetsbaarheden in Microsoft Exchange Server (CVE-2022-41040, CVE-2022-41082) (update)

Inhoud

Update 2 januari 2023

Microsoft heeft 8 november 2022 security updates gereleased voor Exchange Server 2013, 2016 en 2019. Deze beschermen tegen CVE-2022-41040 en CVE-2022-41082. NFIR beveelt ten allen tijde aan zo snel mogelijk patches te installeren zodra ze beschikbaar zijn. Deze patches vormen de structurele definitieve maatregel en overrulen de tijdelijke mitigerende maatregelen.

Zie ook de FAQ sectie in het Microsoft blog:
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045
Voor omgevingen die nog kwetsbaar zijn voor CVE-2022-41040 en CVE-2022-41082 worden door security researchers regelmatig nieuwe exploits gepubliceerd. Zie bijvoorbeeld dit artikel van 20 december 2022 van CrowdStrike:

OWASSRF: CrowdStrike Identifies New Method for Bypassing ProxyNotShell Mitigations

Dit betekent dat de tijdelijke maatregelen die als workaround gepubliceerd zijn in 2022 niet meer voldoende zijn om deze CVE kwetsbaarheden te dichten. Exchange up to date houden met de meest recente patches van Microsoft is het devies. De aanbeveling is om minimaal patch level November 2022 te hebben voor Exchange Server ter bescherming tegen CVE-2022-41040 en CVE-2022-41082.

===

Een op 29 september 2022 door GTSC bekendgemaakte set van twee nieuwe zero-day kwetsbaarheden voor Microsoft Exchange Servers – ProxyNotShell, wordt momenteel actief misbruikt door hackers. Er is op het moment van schrijven nog geen patch beschikbaar.

Microsoft heeft in de ochtend van 30 september 2022 in het Microsoft Security Response Center een ‘Customer Guidance’ artikel gepubliceerd waarin Microsoft bevestigt twee gerapporteerde zero-day kwetsbaarheden te onderzoeken. Het betreft CVE-2022-41040, een Server-Side Request Forgery (SSRF) kwetsbaarheid en CVE-2022-41082, een RCE (Remote Code Execution) kwetsbaarheid indien PowerShell toegankelijk is voor de aanvaller.

Microsoft is op de hoogte van beperkte gerichte aanvallen waarbij de kwetsbaarheden worden misbruikt om in de systemen van slachtoffers te komen. Bij deze aanvallen kan CVE-2022-41040 een ‘authenticated’ aanvaller (de aanvaller moet dus al beschikken over een succesvolle geslaagde login op de betreffende omgeving) in staat stellen om vervolgens CVE-2022-41082 te activeren. Opgemerkt dient te worden dat geauthenticeerde toegang tot de kwetsbare Exchange Server nodig is om één van de twee kwetsbaarheden met succes uit te buiten. De kwetsbaarheid maakt gebruik van de zogenaamde Autodiscover functionaliteit. URL’s die gebruik maken van Autodiscover hebben geen Multi-Factor Authenticatie (MFA) bescherming.

Microsoft werkt momenteel aan een patch.

Deze kwetsbaarheden lijken erg op kwetsbaarheden die vorig jaar werden gemeld, genaamd ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). De kwetsbaarheid is in de cybersecurity gemeenschap (zie Twitter @GossiTheDog) bestempeld als #ProxyNotShell.
Tot er een patch is, is het sterk aanbevolen om de richtlijnen te volgen voor mitigatie en detectie om klanten te helpen zichzelf tegen deze aanvallen te beschermen.

Microsoft Exchange Online heeft al detectie en mitigatie om klanten te beschermen. Alleen omgevingen met Microsoft Exchange Server (on-premise of hybride, versies Server 2013, Server 2016, Server 2019) zijn mogelijk kwetsbaar.

Update 3 oktober 2022:

Microsoft heeft een update gepubliceerd van het ‘Customer Guidance’artikel.

 

Als een aanvaller in staat is om de kwetsbaarheid succesvol uit te buiten, dan kan dit leiden tot het uitvoeren van ongeautoriseerde code op de getroffen systemen. Dit kan mogelijk erin resulteren dat de server en de aanwezige data gecompromitteerd raakt. Deze aanval kan uitgevoerd worden vanaf het internet waarbij authenticatie vereist is.
Vanuit een gecompromitteerde server kan een aanvaller mogelijk toegang verkrijgen tot de machine en mogelijk tot de rest van het netwerk.

Microsoft heeft in de ‘Customer Guidance’ rapportage een aantal concrete mitigerende maatregelen opgenomen (zie https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
NFIR beveelt ten zeerste aan deze maatregelen uit te voeren.
Op het moment van schrijven zijn er geen patches gepubliceerd door Microsoft – wel zijn in het artikel van Microsoft een aantal workarounds beschreven die hieronder zijn samengevat:

 

 

Indien u niet weet of u kwetsbare Outlook Web App services beschikbaar stelt op internet kunt u op Shodan.io website zoeken met:

http.component:"outlook web app" en door de filter toe te voegen
org:uworganisatienaam of ssl:"*uworganisatienaam"

Details van de mitigerende maatregelen kunt u vinden in het Microsoft artikel (zie https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/)

Het is belangrijk voor uw organisatie om ten minste de volgende stappen te nemen:

  1. Controleer de publiek beschikbare Indicators-of-Compromise (IoC’s) op uw systemen om vast te stellen of er systemen mogelijk gecompromitteerd zijn, of laat extern preventief onderzoek uitvoeren naar uw systemen.
  2. Voer de beschikbaar gestelde workarounds uit om, waar mogelijk, de impact te beperken.
  3. Bereid uw organisatie voor op de situatie dat er onverwacht patches uitgevoerd dienen te worden (buiten de reguliere update-timeframes) en pas patches gecontroleerd toe volgens de voor uw organisatie gebruikelijke procedure.
  4. Voer de beschikbare beveiligingsupdates/patches zodra deze gepubliceerd zijn direct uit op de systemen en verifieer of de updates daadwerkelijk toegepast zijn. In het geval dat u een externe IT-dienstleverancier heeft: Laat uw leverancier deze handelingen uitvoeren en laat deze de handelingen en het resultaat hiervan schriftelijk aan u bevestigen.

Heeft u systemen waarvan het risico groot is (bijvoorbeeld systemen met zeer gevoelige of bijzondere persoonsgegevens)? Zo ja, heeft u mogelijk indicaties dat het systeem niet direct gemitigeerd en/of geüpdatet kan worden? Overweeg dan om het systeem tijdelijk uit te schakelen totdat deze geüpdatet kan worden.

Als uw organisatie vermoedelijk het slachtoffer is geworden van een aanval, is het dringende advies om onderzoek uit te laten voeren naar de toedracht, in hoeverre aanvallers mogelijk andere systemen hebben gecompromitteerd en welke informatie mogelijk ongeautoriseerd geraadpleegd is.

  1. Koppel indien mogelijk de getroffen systemen los van het netwerk, maar laat deze aan staan (in verband met eventuele sporen zoals het vluchtige geheugen – RAM);
  2. Laat de getroffen systemen forensisch onderzoeken; zorg voor adequate back-ups;
  3. Reset uw wachtwoorden en gebruikersgegevens;
  4. Doe aangifte bij de Politie;
  5. Overweeg een melding te doen bij de Autoriteit Persoonsgegevens.

Heeft uw organisatie op dit moment een incident? Onze Computer Emergency Response Teams
(CERT) staan 24/7 voor organisaties klaar om te ondersteunen bij IT- Security Incidenten.
Bel dan 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen.

Meer informatie over onze Incident Response Dienst

Heeft uw organisatie op dit moment een incident? Onze Computer Emergency Response Teams (CERT) staan 24/7 voor organisaties klaar om te ondersteunen bij IT- Security Incidenten.

Bel dan 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen.  Hier vindt u meer informatie over onze Incident Response dienst.

Disclaimer: NFIR heeft er alles aan gedaan om deze informatie accuraat en betrouwbaar te maken. De verstrekte informatie is echter zonder enige garantie van welke aard dan ook en het gebruik ervan is geheel voor risico van de gebruiker. NFIR aanvaardt geen enkele verantwoordelijkheid of aansprakelijkheid voor de juistheid, de inhoud, de volledigheid, de rechtmatigheid of de betrouwbaarheid van de verstrekte informatie.

SECURITY INCIDENT BIJ UW ORGANISATIE?

De volgende 30 minuten zijn van cruciaal belang​!

De eerste 30 minuten na een cyber security incident zijn cruciaal, omdat een snelle en adequate reactie de schade kan beperken. Daarnaast kan verdere verspreiding van de aanval worden voorkomen en kan essentieel bewijsmateriaal veiliggesteld worden voor nader onderzoek.

Ons Computer Emergency Response Team (CERT) staat 24/7 klaar om bedrijven en organisaties te ondersteunen bij IT-beveiligingsincidenten.

Heeft uw bedrijf professionele hulp nodig bij een beveiligingsincident?