野生で見られるエクスプロイトの試みで明らかにされた別のExchangeの脆弱性
[ad_1]
まったく予想外のニュースではなく、今週、新しいExchangeの脆弱性が次のように知られていることが明らかにされました。 プロキシトークン これにより、HTTPS 経由で Exchange 2013、2016、または 2019 サーバーにアクセスできるユーザーが、転送ルールの設定など、選択したメールボックスに対して構成アクションを実行できます。
不要な心配を省くために、私はポイントにまっすぐに取得します – Exchange サーバーに完全に修正プログラムを適用した場合 7 月のセキュリティ更新プログラムを含むをクリックすると、この問題を解決するために、再び修正プログラムを適用する必要はありません。
7月のアップデートには、次のパッチが含まれていました。 CVE-2021-33766 この脆弱性の報告を表します。変更されたのは、それが一般に公開され、野生で悪用されたことです。
9/2 の TEC で、Exchange のオンプレミスのセキュリティに関する懸念を調査するセッションに参加してください。
まだパッチを適用していない場合は、今すぐパッチを適用してください。
私はこれを十分に強調することはできません。オンプレミスで Exchange サーバーを実行している場合は、次の 今すぐサーバーにパッチを適用する.Microsoft は、覚えやすいサイトで何をする必要があるかを理解しやすくしました。 aka.ms/ExchangeUpdateWizard – 何をすべきかわからない場合は、これを出発点として、合理的に日常的な旅をガイドします。
ハイブリッド管理用の Exchange サーバーを実行している場合も、この方法が適用されます。この特定の脆弱性を悪用するオンプレミスのメールボックスがない可能性があります。 しかし、あなたが心配すべきのは、それだけではありません.前回の Exchange サーバーに対する修正プログラムを適用した後 その後、あなたのリスクを減らすためにできることがあります 最後の Exchange サーバーを削除できるまで。
Exchange (またはハイブリッド サーバー) をインターネットに公開しない場合や、すぐに修正プログラムを適用する必要はないと考えている可能性があります。あなたがそれを信じるなら、あなたは(ぶっきらぼうで申し訳ありません)ナイーブです。お客様の環境は、スキャン対象のリストに含まれていない可能性がありますが、攻撃者が侵害されたアカウントまたはデバイスを介して別の方法を探している場合は、その は はネットワークにアクセスできる場合でも、これらの脆弱性が役に立つと考えられます。 サーバーにパッチを適用します。
私の最近の実用的な365ライブYouTubeストリームで最新のポッドキャストで、マイクロソフト MVP と、マイケル ヴァン ホーレンベックと、あなたが取るべきその他のアクションについて説明しました。特に、ほとんどの組織は、それらが構成されているかどうか、どのように侵害されたか、損害の程度を理解するのに十分な情報を記録していないため、ログ記録の増加が不可欠であると指摘しています。
ProxyToken のしくみと攻撃者が実行できる操作
最初に、迅速な再表示として、Exchange Server 2013 にはクライアント アクセスの役割とメールボックスの役割が含まれています。Exchange 2016 と 2019 は、メールボックスの役割として、これら 2 つの役割を組み合わせています。クライアント アクセス サービスは、通常の HTTPS、ポート 443、およびメールボックス コンポーネントでリッスンし、ポート 4443 で HTTPS を実行して、ユーザーのメールボックスが現在アクティブになっているサーバーからの要求を満たします。
このため、クライアント アクセス サービスが “CAFE" または “クライアント アクセス フロント エンド" と呼ばれる場合があります。
要求は、まずクライアント アクセス サービスによって認証され、次にユーザーのメールボックスの場所が決定された後、ユーザーに代わってクライアント アクセス サービスによってバックエンド HTTPS サービスにプロキシされます。
ProxyToken を使用したエクスプロイトでは、/ecp のメールボックス構成オプションに対する認証段階がバイパスされ、攻撃者はメールボックスに対して選択したオプションを設定できます。
攻撃者ができることの良い例は、 転送を設定する 内部メールボックス (既に侵害され、アクセス権を持っている) か、外部アドレスに対するアクセス許可を持ちます。この最も明白なシナリオは、財務チームや役員など、価値の高いターゲットに対する新しい電子メールへのアクセスを取得することです。
攻撃自体は、 セキュリティトークン HTTP POST 要求で送信されるクッキーは、クライアント アクセス サービスが、要求が既に認証済みであり、バックエンド サービスに送信する必要があると判断するメソッドです。ただし、バックエンドは要求を検証する必要があることに常に気付いていない。これは、バックエンド /ecp 仮想ディレクトリに要求を送信しようとする試みを許可するために使用されます。バックエンドは、いくつかの追加の検証を行うが、seに有効なチケットを期待していますnt として知られているクッキーを使用して スキャンナリー.このメソッドを使用しない場合、バックエンド サービスは HTTP 500 エラーを返します。
致命的な問題は、HTTP 500 応答では、有効な msExchEcpCanary 値が要求者に送信され、転送アドレスの設定などの悪意のあるアクションを実行するために使用される可能性があるという問題です。
ザ ゼロデイイニシアチブは、サイモン・ザッカーブラウンのブログ記事でより詳細を提供します あなたが時間があれば、それは読む価値があります。
このために侵害された場合の理解
サイバーセキュリティの専門家によると、サーバーを侵害しようとする試みは、これまでさかのぼって見られてきた 8月10日 (少なくとも) これは、8 月中旬に Exchange サーバーに修正プログラムを適用していた場合、ほぼ確実に危険にさらされていたことを意味します。
これらの要求は、試行された URL だけでなく、送信された Cookie を含む HTTP POST 要求をキャプチャする機能を必要とするため、IIS ログ ファイルには表示されません。
Azure センチネルを使用している場合は、tあなたは狩猟Qを見つけるでしょうGitHubでこのエクスプロイトのuery。
メールボックス ルールが組織外や、疑わしい、侵害されたアカウントに電子メールを転送するために作成されている場合は、メールボックス ルールをエクスポートできることを忘れないでください。このような Exchange 管理シェルのワンライナーは、管理する非常に深刻な状況があるかどうかの迅速なアイデアを提供します。
|
取得–メールボックス –結果サイズ 無制限の |% { 取得–受信トレイルール –メールボックス $_.ユーザー プリンシパル名 | どこ {$_.転送先 –又は $_.添付ファイルを転送します。 –又は $_.リダイレクト先} | 選ぶ 名前,同一性,転送先,添付ファイルを転送します。,リダイレクト先} |
これはイライラする – 現時点でExchangeが注目しているのは、より安全な製品になるだけであり、パッチを適用する時間を与える責任ある開示は、あなたが簡単に防御できない野生の脅威を見つけるよりも優れています。だからもう一度 – あなたがパッチで最新の状態に保っていることを確認してください。
[ad_2]