Microsoft, Proxynotshell'e atıfta bulunan CVE-2022-41040 ve CVE-2022-41082 olarak izlenen en son borsa sıfır gün güvenlik açıklarının hafifletilerini güncelledi.
Araştırmacılar, iki hatadan yararlanan yeni saldırılara izin vermek için kolayca atlanabileceklerini gösterdiği için ilk öneriler yetersizdi.
İkinci gelişme hala yeterli değildi, çünkü önerilen azaltma hala proxynotshell saldırılarına izin verebilir.
Üç hafta önce Microsoft'a özel olarak bildirilen CVE-2022-41040, ayrıcalık artışını sağlayan ve CVE-2022-41082 ile çalışan, şirket içi değişim sunucusu dağıtımlarında uzaktan kod yürütülmesini tetiklemek için çalışan bir sunucu tarafı istek amptör (SSRF).
Her iki güvenlik sorunu da yüksek şiddetli bir puanla birlikte gelir, çünkü bunlardan yararlanmak kimlik doğrulaması gerektirir.
Bir tehdit oyuncusu, China Chopper Webshells'i kurmak ve Active Directory keşif ve veri açığa çıkmak için Ağustos ayında hata zincirinden yararlandığını tespit etti.
3 Ekim'de Microsoft, bilinen bu saldırıları önlemek için hafifletmeler yayınladı. Önerilen URL engelleme kuralı çok spesifik olduğundan, rakipler hala yeni saldırılardaki değişim güvenlik açıklarından yararlanabilir.
Birden fazla güvenlik araştırmacısı bunu belirtti ve yamalar mevcut olana kadar daha az kısıtlayıcı bir geçici çözüm önerdi.
Microsoft öneriyi gözden geçirdi ve güncellenmiş hafifletmelerde benimsedi. Aşağıda, geliştirilmiş öneri (yeşil) ile ilk öneri (kırmızı) arasındaki temel fark bulunmaktadır.
Bununla birlikte, güvenlik araştırmacıları, URL yeniden yazma kuralındaki '{url}' nin {request_uri} 'koşulunun hala saldırganların hafifletmeyi atlamasına izin verdiğini buldu.
Serbest hacker Pieter Hiele, URI'deki dizeleri filtreleme koşulunun, kuralı verimsiz hale getiren karakter kodlamasını hesaba katmadığını fark etti:
Cert/CC'nin eski analisti Will Dormann, Hiele'nin bypass'ın karakterler kodlandığında {request_uri} 'nin işe yaramaz olduğunu açıkladı.
Daha iyi bir varyant, url kodlu giriş dizesini kodlayan {urldecode: {request_uri}} 'dır, böylece bu durumda sağlanan bir desenle eşleşmeye izin verir.
İki güvenlik açığı Proxynotshell adını veren güvenlik araştırmacısı Kevin Beamont, Microsoft'tan ilk gelişmiş hafifletmeyi atlamak için filtreleme modelindeki bir harfin kodlanmasının yeterli olduğunu belirtiyor.
GÜNCELLEME: Microsoft, URL kodlu senaryoları göz önünde bulundurmak için azaltmayı güncelledi ve {urldecode: {request_uri}} durumuna geçti.
Beaumont ayrıca Proxynotshell saldırılarını izliyor ve tehdit aktörlerinin Microsoft'tan hafifletme varyantları için hem önceki hem de mevcut baypas kullandıklarını fark etti.
Ayrıca, araştırma şirketi Greynoise, 22'si kötü niyetli olarak işaretlenmiş olan 24 IP adresinden Proxynotshell savunmasız sistem için taramalar gözlemledi.
Salı günü Microsoft, gelişmiş URL yeniden yazma kuralı ile tavsiyelerini güncellediğini açıkladı ve Exchange Server müşterilerinin bunu incelemesini ve sağlanan üç hafifletme seçeneğinden birini benimsemesini önerdi.
Exchange Acil Durum Azaltma Hizmeti (EEM'ler) olan müşteriler, Exchange Server 2016 ve Exchange Server 2019 için güncellenmiş URL yeniden yazma azaltma işleminden otomatik olarak fayda sağladı.
EOMTV2 komut dosyası (sürüm 22.10.03.1829) artık URL yeniden yazma kural geliştirmesini içeriyor. İnternet bağlantılı makinelerde otomatik olarak güncellenir ve EEM'ler etkin olmadan herhangi bir Exchange sunucusunda tekrar çalıştırılmalıdır.
Üçüncü seçenek, daha önce oluşturulan kuralı manuel olarak silmek ve aşağıdaki talimatları izleyerek geliştirilmiş olanı eklemektir:
Ayrıca, Microsoft, Admin Olmayan Kullanıcılar için Uzaktan PowerShell erişiminin devre dışı bırakılmasını önerir. İşlem beş dakikadan az sürmeli ve kısıtlama yalnızca bir veya birden fazla kullanıcı için uygulanabilir.
Microsoft'un şirket içi değişim sunucuları olan müşteriler için bu hafifletmeleri sağladığını belirtmek gerekir, bu da hibrit dağıtımlı şirketlerin de risk altında olduğu anlamına gelir.
Ayrıca, Exchange sunucusunu genel web üzerinden açığa çıkaran kuruluşlar daha yüksek bir saldırı riski ile karşı karşıyadır. Bazıları hükümet, finans ve eğitim sektörlerinde, hem ulus devlet hackerları hem de siber suçlular için cazip bir hedef oluşturuyor.
GÜNCELLEME [5 Ekim 12:19 EST]: Microsoft'un yeni hafifletme hakkında yayınlandıktan sonra ortaya çıkan yeni bilgilerle güncellenen makale, proxynotshell saldırılarını engellemek için yeterli değil.
GÜNCELLEME [6 Ekim 02:52 EST]: Microsoft, URL kodlama senaryosunu kapsayacak şekilde proxynotshell azaltma işlemini bir kez daha güncelledi. Bu değişikliği yansıtacak makaleyi güncelledik.
Microsoft Exchange Server Zero-Day Hexation Bypassed
Github'da Satılık Sahte Microsoft Exchange Proxynotshell istismarları
Microsoft, yeni değişim sıfır günlerinin saldırılarda kullanıldığını doğrular
Yeni Microsoft Exchange Zero-Days aktif olarak saldırılarda sömürüldü
CISA: Bilgisayar korsanları saldırılarda kritik Bitbucket Sunucu Kusurundan yararlanıyor
Kaynak: Bleeping Computer