par Bhabesh Raj Rai, Security Research

Le 29 septembre 2022, Microsoft a confirmé des informations faisant état d’adversaires exploitant deux vulnérabilités zero-day qui affectaient les serveurs Microsoft Exchange : CVE-2022-41040 (score CVSSv3 de 6,3) et CVE-2022-41082 (score CVSSv3 de 8,8). La première était une vulnérabilité SSRF (Server-Side Request Forgery), tandis que la seconde permettait l’exécution de code à distance (RCE : Remote Code Execution) lorsque l’adversaire avait accès à PowerShell. Notons que les adversaires ont besoin d’un accès authentifié au serveur Exchange pour exploiter ces deux vulnérabilités.

L’entreprise de technologie vietnamienne GTSC a découvert l’utilisation de ces failles en août dernier et a publié le 28 septembre un article de blog avec plus de détails. Un jour plus tard, Microsoft a donné aux clients des conseils en matière de détection et d’atténuation des menaces. Microsoft et GTSC ont tous deux observé des adversaires en train d’installer le Web Shell populaire, China Chopper, en utilisant la chaîne d’attaque.

Ces failles sont très similaires aux vulnérabilités ProxyShell découvertes en 2021. L’expert en sécurité Kevin Beaumont les a surnommées ProxyNotShell en raison de leur similitude avec ProxyShell, la principale différence étant que ProxyNotShell nécessite une authentification.

Présentation rapide de ProxyNotShell

  • Il nécessite un accès authentifié au serveur Exchange.
  • Il n’affecte que les serveurs Exchange sur-site/on-prem (2013/2016/2019).
  • Aucun correctif n’est disponible pour le moment.
  • Les adversaires combinent les deux vulnérabilités zero-day pour diffuser des Web Shells.
  • Microsoft a observé des attaques dans moins de 10 entreprises dans le monde.

Détectez l’exploitation de ProxyNotShell à l’aide de Logpoint

Effectuez des balayages IoC à la recherche de ProxyNotShell grâce aux logs, à partir d’août dernier.

(source_address IN [137.184.67.33, 125.212.220.48, 5.180.61.17, 47.242.39.92, 61.244.94.85, 86.48.6.69, 86.48.12.64, 94.140.8.48, 94.140.8.113, 103.9.76.208, 103.9.76.211, 104.244.79.6, 112.118.48.186, 122.155.174.188, 125.212.241.134, 185.220.101.182, 194.150.167.88, 212.119.34.11, 206.188.196.77]
destination_address IN [137.184.67.33, 125.212.220.48, 5.180.61.17, 47.242.39.92, 61.244.94.85, 86.48.6.69, 86.48.12.64, 94.140.8.48, 94.140.8.113, 103.9.76.208, 103.9.76.211, 104.244.79.6, 112.118.48.186, 122.155.174.188, 125.212.241.134, 185.220.101.182, 194.150.167.88, 212.119.34.11, 206.188.196.77])
(hash IN [c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1, 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5, b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca, be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257, 074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82, 45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9, 9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0, 29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3, c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2, 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e]
OR hash_sha256 IN [c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1, 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5, b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca, be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257, 074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82, 45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9, 9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0, 29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3, c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2, 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e])

Depuis juin 2021, Exchange prend en charge l’intégration avec Antimalware Scan Interface (AMSI). Nous conseillons aux administrateurs Exchange de s’assurer que toutes les mises à jour soient bien installées et que l’analyse AMSI soit fonctionnelle. Les administrateurs doivent également vérifier s’ils ont bien placé des répertoires Exchange dans des exclusions antivirus pour des raisons de performances.

label=Threat label=Detect 
threat IN ["Backdoor:ASP/Webshell.Y", "Backdoor:Win32/RewriteHttp.A", "Backdoor:JS/SimChocexShell.A!dha", "Behavior:Win32/IISExchgDropWebshell.A!dha", "Behavior:Win32/IISExchgDropWebshell.A", "Trojan:Win32/IISExchgSpawnCMD.A", "Trojan:Win32/WebShellTerminal.A", "Trojan:Win32/WebShellTerminal.B"]

Les analystes doivent rechercher les artefacts Web Shell de Chopper dans les logs de création de processus.

label="Process" label=Create
parent_process="*\w3wp.exe" command IN ["*&ipconfig&echo*", "*&quser&echo*", "*&whoami&echo*", "*&c:&echo*", "*&cd&echo*", "*&dir&echo*", "*&echo [E]*", "*&echo [S]*"]

De même, nous conseillons aux analystes de rechercher les processus enfants suspects concernant w3wp.exe.

label="Process" label=Create parent_process="*\w3wp.exe"
-process IN ["*\WerFault.exe", "*\csc.exe"]
| chart count() by log_ts, user, "process", parent_command, command

Comme indiqué dans le rapport GTSC, les attaquants ont utilisé certutil pour télécharger des Web Shells.

label="Process" label=Create process="*\certutil.exe" 
command IN ["* -urlcache *", "* /urlcache *"]

De même, recherchez les créations de fichiers suspects dans les répertoires nommés PerfLogs ou Public, que les attaquants utilisent couramment pour héberger les charges virales téléchargées.

norm_id=WindowsSysmon event_id=11
path IN ["C:\Users\Public*", "C:\PerfLogs*", "C:\root*"]

Les détections de ProxyShell fonctionnent également pour ProxyNotShell. Les clients peuvent utiliser les alertes ProxyShell existantes regroupées dans l’application Logpoint Alert Rules. Comme indiqué sur le blog de Microsoft, les adversaires ont utilisé le Web Shell China Chopper pour effectuer la reconnaissance AD ​​et nous vous rappelons que l’application Alert Rules couvre les TTP nécessaires.

Déployez les mesures d’atténuation sans délai

Nous conseillons aux administrateurs Exchange d’évaluer et d’appliquer dès que possible l’une des trois options d’atténuation fournies par Microsoft dans leurs conseils aux clients pour ProxyNotShell. Microsoft a également publié un script pour appliquer les mesures d’atténuation concernant le vecteur SSRF CVE-2022-41040 aux serveurs Exchange concernés.

Les analystes doivent surveiller les tentatives d’exploitation jusqu’à ce que Microsoft publie des correctifs pour ProxyNotShell. Nous conseillons aux analystes de rechercher en permanence les Web Shells, car la détection d’une activité post-exploitation pourrait aider à découvrir les vulnérabilités zero-day ou N-day.

Nous mettrons à jour cet article de blog au fur et à mesure de l’évolution de la situation.

Contact Logpoint

Contact us and learn why
industry-leading companies
choose Logpoint: