Ресерчеры из вьетнамского подразделения кибербезопасности GTSC сообщают об обнаружении активно эксплуатируемой 0-day в Microsoft Exchange, позволяющие злоумышленнику выполнить RCE.

Злоумышленники используют комбинацию 0-day для развертывания веб-оболочек China Chopper на скомпрометированных серверах для сохранения и кражи данных, а также для бокового перемещения на другие системы в сетях жертв.

GTSC подозревает, что за атаками стоит китайская АРТ, судя по кодовой странице веб-оболочек, кодировке символов Microsoft для упрощенного китайского языка.

Пользовательский агент, используемый для установки веб-оболочек, также связан с Antsword, китайским инструментом администрирования веб-сайтов с открытым исходным кодом и поддержкой управления веб-оболочками.

Microsoft пока не раскрывает никакой информации о двух критических ошибках и еще не присвоила им CVE.

Исследователи уведомили Microsoft об уязвимостях еще три недели назад в рамкахрбезопасности GTSC сообщаюгде баги отслеживаются как ZDI-CAN-18333 и ZDI-CAN-18802 с CVSS в 8,8 и 6,3.

ZDI подтвердил ошибки, о чем Trend Micro выпустила бюллетень по безопасности и добавила средства обнаружения 0-day в свои продукты.

GTSC пока не стали публиковать технические подробности новых 0-day. Тем не менее, исследователи обнаружили, что запросы, используемые в этой цепочке эксплойтов, аналогичны тем, которые применяются в атаках, нацеленных на уязвимости ProxyShell.

Пока Microsoft не выпустит исправления для устранения 0-day, следует руководствоваться рекомендациями GTSC по смягчению последствий атак. Ресерчеры предлагают добавить новое правило сервера IIS с помощью модуля правила перезаписи URL.

В Autodiscover at FrontEnd необходимо выберать вкладку URL Rewrite, а затем Request Blocking, после чего добавить строку « .*autodiscover\.json.*\@.*Powershell.* » в URL-путь. При вводе условия - выберать {REQUEST_URI}.

Для проверки возможной компрометации серверов Exchange с использованием обнаруженных 0-day, администраторам следует запустить следующую команду PowerShell для сканирования файлов журнала IIS на наличие индикаторов компрометации: Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200’.

🧑‍💻 Указ Президента России от 1 мая 2022 года № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» кардинально меняет подход к обеспечению кибербезопасности в российских компаниях. По экспертным оценкам, документ затрагивает около 500 тысяч организаций, а это до 95% российской экономики.

О том, каким компаниям предстоят перемены и в чем они будут заключаться, на вебинаре рассказал бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий.

💡 Полезные материалы:

• Рабочая тетрадь к вебинару
• Чек-лист

Также мы создали специальный Telegram-канал, где вы можете задать свои вопросы, связанные с реализацией Указа Президента России от 1 мая 2022 года № 250: https://news.1rj.ru/str/polza250

▶️ Посмотреть запись вебинара можно на нашем YouTube-канале

#PositiveWebinars