◾️ 內容簡述
三週前, GTSC- 一個來自越南的網路安全公司,私下向 Microsoft 反映了兩個高風險漏洞:CVE-2022-41040 和 CVE-2022-41082。目前已知此二漏洞有被攻擊者利用於對Microsoft Exchange 伺服器上資料的竊取與洩露、或是遠端地在用戶的設備中執行惡意的程式。Microsoft 已經針對此二弱點提出因應的方法和版本更新,然而,多方驗證結果皆對於此版本更新的可效性產生質疑。
◾️ 目前Microsoft 針對弱點 CVE-2022-41040 和 CVE-2022-41082 所提出的系統調整
以避免潛在的攻擊為目標,鑑於目前對於攻擊手法的研究,Microsoft 強烈建議組織內部可以透過 IIS (internet information servers) 管理工具,關閉非管理者的 PowerShell 權限,阻斷被攻擊的可能性,並提供以下步驟參考:
(1) 開啟 IIS 管理工具
(2) 在介面上選擇 「預設網站」(Default Web Site)
(3) 在「功能介面」(Feature View) 選單中,點擊 「URL 重寫」(URL rewrite)
(4) 在畫面右側的「動作」(Action) 選單中,選擇「加入規則…」 (Add Rules…)
(5) 選擇 「阻擋請求」(Request Blocking) 並按 「OK」
(6) 打上文字 .autodiscover.json.*@.*Powershell.
(7) 將此規則展開 (Expand),並選擇「在條件中編輯」(Edit under condition)
(8) 將條件輸入 (condition input) 由 {URL} 改為 {REQUEST_URI}
除了手動操作上述更改之外,用戶若有「管理者權限」、IIS 版本在7.5以上 並且 PowerShell的版本在3或以上,也可以選擇執行新版的Microsoft 對於 Exchange 內部伺服器工具 (Exchange On-premises Mitigation Tool) 所進行的更新。
◾️ 質疑觀點
據了解,上述 Microsoft 因應弱點CVE-2022-41040 和 CVE-2022-41082 所提出的調整,僅限於已知的攻擊者和事件,無法因應未來更多可能的相似攻擊。
網路安全研究者 Jang,在十月三日時,也在個人的Tweet帳號中陳述了「目前Microsoft 針對弱點CVE-2022-41040 和 CVE-2022-41082 所提出的因應措施,可以被輕易破解,在安全性上仍有改善空間」的測試發現。另一位在ANALYGENCE 任職的弱點分析師也認同 Jang 的觀點,並認為此次 Microsoft 的更新過於針對已知的攻擊軟體,反而使更新的效果受到限制,除此之外,GTSC 也針對此論點提出了附議和影片的證據。
針對部份同時具備本地 Exchange 伺服器 (on-premise Exchange Server) 和線上雲端 (cloud) 的使用者的混合部署 (hybrid deployment) 的 Exchange 使用者而言,只要使用者有使用本地的 Exchange,風險就有可能存在。經調查,混合部署的 Exchange 使用者是普遍的,已知目前有公佈混合部署的組織便有 1200 家。
然而截至目前為止,Microsoft 仍尚未針對弱點 CVE-2022-41040 和 CVE-2022-41082 以及大眾對於上回調整的回應,進行有效的修補。Microsoft 說明 CVE-2022-41040 和 CVE-2022-41082 是高風險弱點而非嚴重的弱點,因在弱點 CVE-2022-41040 中,攻擊者需具備權限許可方可利用此漏洞;此外,弱點 CVE-2022-41082 攻擊者亦需對受害者電腦中的檔案和設定有一定的了解,方可遠程執行惡意程式。
參考資料
Microsoft Exchange server zero-day mitigation can be bypassed, BleepingComputer (3 Oct 2022)- https://www.bleepingcomputer.com/news/security/microsoft-exchange-server-zero-day-mitigation-can-be-bypassed/
【資安日報】2022 年 10 月 4 日,微軟針對 Exchange 零時差漏洞提出的緩解措施可被輕易繞過、美國防承包商遭勒索軟體 BlackCat 攻擊, iThome (4 Oct 2022)- https://www.ithome.com.tw/news/153457