Saldırı Kampanyası: Exchange Server’da Yeni 0-Day RCE Zafiyeti!

Nasıl Tespit Edildi?

Ağustos 2022‘nin başlarında GTSC SOC ekibi güvenlik izleme ve olay müdahale sırasında, Microsoft Exchange uygulamalarına yönelik kritik bir altyapının saldırıya uğradığını keşfetti.  Bir müşteriye SOC hizmeti sağlarken, IIS günlüklerinde ProxyShell güvenlik açığıyla aynı biçimde istismar istekleri fark eden ekip, araştırma sırasında, saldırının Microsoft tarafından henüz açıklanmamış bir 0-day Exchange güvenlik açığı kullanılarak yapıldığını tespit etti.

Ekip, yamanın mümkün olan en kısa sürede hazırlanabilmesi için  Zero Day Initiative'e (ZDI) güvenlik açığını bildirdi. ZDI, istismarla ilgili CVSS puanları 8.8 ve 6.3 olan 2 hatayı aşağıdaki gibi doğruladı ve onayladı.

Saldırgan Kimdir?

Saldırıda yapılan incelemeler, saldırı sırasında kullanıldığı tespit edilen IOC'ler, analiz dosyaları ve kullanılan ürünler, Çince karakter kullanımı, saldırganın Çinli bir tehdit aktör gurubu olma ihtimalini yükseltiyor. İncelenen dosyalarda bulunan imzalar ise, “Chinese Chopper” malware olduğunu değerlendiriyor.

Saldırıdan Nasıl Korunurum?

İddialara göre, birden fazla kuruluş bu 0-day güvenlik açığından yararlanan bu saldırı kampanyasının kurbanıdır. Ayrıca, sömürülen ancak keşfedilmemiş birçok başka kuruluş olabileceği değerlendiriliyor.

Saldırıların zafiyetini azaltmak için geçici olarak aşağıdaki çözüm sunuluyor:

In Autodiscover at FrontEnd select tab URL Rewrite, select Request Blocking

Add string “.*autodiscover\.json.*\@.*Powershell.*“ to the URL Path:

Condition input: Choose {REQUEST_URI}

Saldırıyı Nasıl Tespit ederim?

Kuruluşların Exchange Sunucularının henüz bu zafiyet tarafından istismar edilip edilmediğini kontrol etmelerine yardımcı olmak için iki yöntem açıklandı:

Method 1: Powershell’i ile IIS log dosyalarını analiz edebilirsiniz.

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200

Method 2 : GTSC tarafından geliştirilen bir aracı kullanabilirsiniz. Araç indirme bağlantısı: https://github.com/ncsgroupvn/NCSE0Scanner

Saldırıda Kullanılan IOC’LER Nelerdir?

Webshell:

File Name

Hash (SHA256)

Path

pxh4HG1v.ashx

c 838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

C:\Program Files \Microsoft\Exchange Server\V15\ FrontEnd \ HttpProxy \ owa \ auth \pxh4HG1v.ashx

RedirSuiteServiceProxy.aspx

65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5

C:\Program Files \Microsoft\Exchange Server\V15\ FrontEnd \ HttpProxy \ owa \ auth \RedirSuiteServiceProxy.aspx

RedirSuiteServiceProxy.aspx

b 5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca

C:\Program Files \Microsoft\Exchange Server\V15\ FrontEnd \ HttpProxy \ owa \ auth \RedirSuiteServiceProxy.aspx

Xml.ashx

c 838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

Xml.ashx

errorEE.aspx

be 07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257

C:\Program Files \Microsoft\Exchange Server\V15\ FrontEnd \ HttpProxy \ owa \ auth \errorEE.aspx

DLL:

File Name

Hash (SHA256)

Dll.dll

074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82 45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9 9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0 29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3 c 8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2

180000000.dll ( Dump từ tiến trình Svchost.exe)

76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e

IP:

125[.]212[.]220[.]48

5[.]180[.]61[.]17

47[.]242[.]39[.]92

61[.]244[.]94[.]85

86[.]48[.]6[.]69

86[.]48[.]12[.]64

94[.]140[.]8[.]48

94[.]140[.]8[.]113

103[.]9[.]76[.]208

103[.]9[.]76[.]211

104[.]244[.]79[.]6

112[.]118[.]48[.]186

122[.]155[.]174[.]188

125[.]212[.]241[.]134

185[.]220[.]101[.]182

194[.]150[.]167[.]88

212[.]119[.]34[.]11

URL:

hxxp://206[.]188[.]196[.]77:8080/themes.aspx

C2:

137[.]184[.]67[.]33