Adaptación del articulo “SECURITY ALERT: Attack Campaign Utilizing Microsoft Exchange 0-Day (CVE-2022-41040 and CVE-2022-41082)»  https://success.trendmicro.com/dcx/s/solution/000291651?language=en_US&sfdcIFrameOrigin=null

El 29 de septiembre de 2022, GTSC publicó un blog en el que se describía una nueva campaña de ataque que se ha observado utilizando dos vulnerabilidades aún no reveladas (0-day) que fueron enviadas a Microsoft a través de la Iniciativa de Día Cero de Trend Micro: ZDI-CAN-18333 (CVSS 8.8) y ZDI-CAN-18802 (CVSS 6.3), que podrían permitir a un atacante la capacidad de realizar una ejecución remota de código (RCE) en los servidores Microsoft Exchange afectados.

Actualización: Microsoft ha reconocido públicamente el problema y ha emitido algunas orientaciones iniciales aquí.  Además, se han asignado públicamente dos CVE a los problemas mencionados:  CVE-2022-41040 y CVE-2022-41082.

Uso de los Productos de Trend Micro Para la Investigación

A continuación, se destacan varias detecciones posteriores a la explotación y la tecnología de remediación que pueden ser utilizadas por los clientes para investigar y ayudar con la remediación potencial en el entorno de un cliente.

Trend Micro Vision One™

Los clientes de Trend Micro Vision One se benefician de las capacidades de detección XDR de los productos subyacentes, como Apex One.  A continuación, se describen algunos de los componentes de Trend Micro Vision One que pueden utilizarse para la investigación.

1. Risk Insights > Executive Dashboard

Los clientes que utilizan el componente Executive Dashboard de Risk Insights pueden ver información proactiva sobre las reglas y mitigaciones de Trend Micro, así como actuar sobre los dispositivos potencialmente afectados (si la detección de vulnerabilidades está activada):

imageimage

2. Consulta de búsqueda

imageComo alternativa, los clientes pueden utilizar la función de consulta de búsqueda general en Trend Micro Vision One™ para realizar una investigación preliminar de la posible exposición.

  1. Abra Trend Micro Vision One y navegue hasta Buscar.
  2. Seleccione General para el método de búsqueda.
  3. Introduzca la siguiente consulta:
    • veentSubId: 101 AND (FileFullPath:»C:\Perflogs\*.exe» O
    • FileFullPath:»C:\Perflogs\*.dll» O
    • FileFullPath:»*Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\*.ashx» O
    • FileFullPath:»*Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\*.aspx»)
  4. Ejecute la búsqueda (y guárdela para más tarde si lo desea).

3. Informes de Inteligencia Curada

Se ha añadido un informe de inteligencia curada actualizado en Trend Micro Vision One para esta campaña que realizará automáticamente un barrido de la actividad de los endpoints para los clientes de XDR que lo tengan activado.

image

Protección y Detección de Trend Micro Contra La Explotación

Ante todo, siempre es muy recomendable que los usuarios apliquen los parches del proveedor cuando estén disponibles. Desafortunadamente, en este momento, esto se considera un 0-day no revelado, por lo que un parche oficial aún no está disponible por parte de Microsoft; sin embargo, han publicado algunas orientaciones iniciales aquí.

Como el envío original del exploit fue a través de la Iniciativa Día Cero de Trend Micro, basado en su análisis de la información del exploit, Trend Micro puede compartir que tienen algunas reglas y filtros de detección existentes que pueden ayudar a proveer contra la potencial explotación de esta vulnerabilidad.

Trend Micro Cloud One – Filtros de Protección Contra Malware Network Security & Tippingpoint ThreatDV

  • 39522: HTTP: Vulnerabilidad SSRF de Microsoft Exchange Server Autodiscover (PWN2OWN ZDI-21-821)
  • 41776: ZDI-CAN-18333: Vulnerabilidad de la Iniciativa del Día Cero (Microsoft Exchange)

Trend Micro Cloud One – Reglas IPS Workload Security, Deep Security & Vulnerability Protection

  • 1011041 – Vulnerabilidad de ejecución remota de código en Microsoft Exchange Server (CVE-2021-34473 y ZDI-CAN-18802)
  • 1011548 – Vulnerabilidad de ejecución remota de código en Microsoft Exchange Server (ZDI-CAN-18333)

Reglas de Trend Micro Deep Discovery Inspector (DDI)

  • 4593: EXPLOIT SSRF DE INTERCAMBIO – HTTP(SOLICITUD)
  • 4624: EXPLOIT DE INTERCAMBIO – HTTP(RESPUESTA)

Patrones de detección de malware de Trend Micro (VSAPI, Predictive Learning, Behavioral Monitoring y WRS) para Endpoint, Servidores, Correo y Gateway (por ejemplo, Apex One, Worry-Free Business Security Services, Worry-Free Business Security Standard/Advanced, Deep Security w/Anti-malware, etc.)

  • El ASP Webshell asociado se detecta como Backdoor.ASP.WEBSHELL.YXCI4
  • El conocido componente Chinese Chopper es detectado por las soluciones de Trend Micro Behavior Monitoring
  • Varias de las IPs listadas en los informes GTSC están siendo bloqueadas a nivel de URL por los Servicios de Reputación Web (WRS) de Trend Micro como Cómplices de Malware, Vectores de Enfermedad o Servidores C&C

Otras Medidas de Contención y Detección

GTSC ha esbozado en su blog algunas informaciones de detección y mitigación potenciales, además de la protección de Trend Micro mencionada anteriormente.  Trend Micro no puede confirmar oficialmente si son mitigaciones adecuadas o no, pero aconseja a los clientes que lean el blog y tomen medidas si es posible.

Microsoft también ha publicado un blog sobre el tema con algunas orientaciones iniciales.  Se señala que el acceso autenticado al servidor Exchange vulnerable es necesario para explotar cualquiera de las vulnerabilidades.

Trend Micro seguirá actualizando esta Alerta de Seguridad con información adicional, como la detección de COI y la información oficial de los parches a medida que estén disponibles públicamente.