Rà soát backdoor trên Microsoft Exchange Server
Gần đây Microsoft đã công bố bản vá của 4 lỗ hổng bảo mật nghiêm trọng trong Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065).
Một nhóm hacker do nhà nước Trung Quốc bảo trợ có tên HAFNIUM bị cáo buộc rằng đang tiến hành một chiến dịch gián điệp lớn để lấy dữ liệu từ các tổ chức trên toàn cầu. Theo một báo cáo, đã phát hiện trong hệ thống hàng chục nghìn doanh nghiệp Hoa Kỳ, châu Âu và châu Á có tồn tại backdoor, chúng được cài vào thông qua lỗ hổng trên.
Kể cả các đơn vị đã cập nhật bản vá của Microsoft nhưng vẫn có nguy cơ tồn tại backdoor từ trước đó (bản cập nhật của Microsoft không có tác dụng ngăn chặn kẻ tấn công truy cập vào hệ thống mạng nội bộ, đánh cắp thông tin thông qua backdoor).
Điều tra xác định backdoor bởi chiến dịch HAFNIUM
Kiểm tra bản cập nhật Exchange Server
Team Microsoft Exchange Server đã có một bài đăng trên blog về các
Bản cập nhật bảo mật, cung cấp một tập lệnh để kiểm tra nhanh trạng thái cấp bản
vá của các server Exchange và trả lời một số câu hỏi cơ bản xung quanh việc cài
đặt các bản vá này.
Scan log của Exchange
Team Exchange Server đã tạo một tập lệnh để kiểm tra các IOC
HAFNIUM tại: https://github.com/microsoft/CSS-Exchange/tree/main/Security.
-
Việc khai thác CVE-2021-26855 có thể được
phát hiện thông qua Exchange HttpProxy log:
o
Log được lưu tại: %PROGRAMFILES%\Microsoft\Exchange
Server\V15\Logging\HttpProxy
o
Việc khai thác có thể được xác định bằng cách
tìm kiếm log trong đó AuthenticatedUser trống và AnchorMailbox chứa ServerInfo
~ */*
§ Lệnh PowerShell:
Import-Csv
-Path (Get-ChildItem -Recurse -Path "$env:PROGRAMFILES\Microsoft\Exchange
Server\V15\Logging\HttpProxy" -Filter '*.log').FullName | Where-Object
{ $_.AuthenticatedUser -eq '' -and $_.AnchorMailbox -like
'ServerInfo~*/*' } | select DateTime, AnchorMailbox
o
Nếu hoạt động được phát hiện, log cụ thể cho ứng
dụng được chỉ định trong AnchorMailbox có thể được sử dụng để xác định những
hành vi đã được thực hiện.
§ Log này trong
thư mục: % PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging.
-
Khai thác CVE-2021-26858 có thể được phát hiện
thông qua file log sau:
o
C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog
o
Lệnh PowerShell để xác định khả năng bị khai
thác:
findstr
/snip /c:"Download failed and temporary file" "%PROGRAMFILES%\Microsoft\Exchange
Server\V15\Logging\OABGeneratorLog\*.log"
-
Khai thác CVE-2021-26857 có thể được phát hiện
thông qua log Windows Application event
o
Việc khai deserialization này sẽ tạo ra các event
với các thuộc tính sau:
§ Source:
MSExchange Unified Messaging
§ EntryType:
Error
§ Event
Message Contains: System.InvalidCastException
o
Lệnh PowerShell:
Get-EventLog
-LogName Application -Source "MSExchange Unified Messaging"
-EntryType Error | Where-Object { $_.Message -like "*System.InvalidCastException*"
}
-
Khai thác CVE-2021-27065 có thể được phát hiện
thông qua file log sau:
o
C:\Program Files\Microsoft\Exchange
Server\V15\Logging\ECP\Server
o
Lệnh PowerShell để xác định khả năng bị khai
thác:
Select-String -Path
"$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log"
-Pattern 'Set-.+VirtualDirectory'
Tìm kiếm Web shell
Có thể tìm kiếm web shell ở:
-
C:\inetpub\wwwroot\aspnet_client\
-
C:\inetpub\wwwroot\aspnet_client\system_web\
-
Trong đường
dẫn cài đặt Exchange Server:
o
%PROGRAMFILES%\Microsoft\Exchange
Server\V15\FrontEnd\HttpProxy\owa\auth\
o
C:\Exchange\FrontEnd\HttpProxy\owa\auth\
Các web shell đã được phát hiện
thường có tên:
-
web.aspx
-
help.aspx
-
document.aspx
-
errorEE.aspx
-
errorEEE.aspx
-
errorEW.aspx
-
errorFF.aspx
-
healthcheck.aspx
-
aspnet_www.aspx
-
aspnet_client.aspx
-
xx.aspx
-
shell.aspx
-
aspnet_iisstart.aspx
-
one.aspx
Kiểm tra các tệp .zip, .rar và .7z nghi ngờ trong C:\ProgramData\
Sử dụng Microsoft Support Emergency Response Tool (MSERT) để quét Microsoft Exchange Server
Microsoft Defender đã bổ sung các bản cập nhật cho phiên bản mới nhất của Microsoft Safety Scanner (MSERT.EXE) để phát hiện và khắc phục các mối đe dọa lợi dụng các lỗ hổng Exchange Server. Quản trị viên có thể sử dụng công cụ này cho các máy chủ không có Microsoft Defender. Có 2 lựa chọn là Full scan (quét toàn bộ) và Customized scan (quét tùy chỉnh)
- Full scan: Đây là tùy chọn hiệu quả nhất mặc dù có thể mất nhiều thời gian để hoàn thành tùy thuộc vào kích thước thư mục của máy chủ.
- Customized scan: Có thể cấu hình để quét các đường dẫn tùy chỉnh, một số vị trí lưu file độc hại được phát hiện trong các cuộc tấn công:
o
%IIS
installation path%\aspnet_client\*
o
%IIS
installation path%\aspnet_client\system_web\*
o
%Exchange
Server installation path%\FrontEnd\HttpProxy\owa\auth\*
o
Configured
temporary ASP.NET files path
o %Exchange Server Installation%\FrontEnd\HttpProxy\ecp\auth\*
Nhận xét
Đăng nhận xét