•  
    • Bewirb dich jetzt!
    •  
      • Start
      • Leistungsprofil
        Leistungsprofil
        • IT-Infrastruktur
          IT-Infrastruktur
          • Beratung
          • Lösungen
            Lösungen
            • Storage und Backup
            • IT- & Organisations-Check
            • Log- und Eventmanagement
            • Netzwerk
            • Virtualisierung
            • Applikationen
            • Microsoft 365
          • Branchen
          • Kompetenzen
        • IT-Security
          IT-Security
          • Beratung
          • Lösungen
            Lösungen
            • Prozessorientiertes ISMS
            • IT-Security Check
            • Awareness-Schulung
            • Zugangsmanagement
            • Gateway
            • Endgeräte
            • Verschlüsselung
            • Schwachstellenmanagement
          • Branchen
          • Kompetenzen
        • IT-Service
          IT-Service
          • Lösungen
            Lösungen
            • IT-Dokumentation
            • IT-Monitoring
            • Schnittstellentechnologie
          • Kompetenzen
          • Kunden
        • ISMS und BCMS
          ISMS und BCMS
          • Lösungen
            Lösungen
            • Informationssicherheits-managementsystem (ISMS)
            • Informationssicherheits-Risikomanagement
            • Business Continuity Management (BCM)
            • Tool für prozessintegriertes Managementsystem
            • Sicherheitskonzepte und Sicherheitsrichtlinien
          • Branchen und Kunden
          • Kompetenzen
        • Support- und Managed Services
          Support- und Managed Services
          • Beratung
          • Lösungen
            Lösungen
            • SHD User Help Desk
            • Cloud Backup
              Cloud & Managed Services
              • Self-Service
              • Virtualisierung
              • Full-Service
            • IT- & Organisations-Check
            • Basisunterstützung
            • Betriebsunterstützung
            • Betriebsverantwortung
            • Cloud-Strategie
          • Kompetenzen
          • Kunden
        • Digitalisierung von Prozessen
          Digitalisierung von Prozessen
          • Beratung
          • Lösungen
            Lösungen
            • Digitales Wachstumspaket
            • Investitionsmanagement
            • Prozessdokumentation
            • HR: E-Recruiting
            • Kaufmännische Prüfung
            • Rechnungseingang
            • HR: Fehlzeitenmanagement
          • Branchen
          • Kompetenzen
          • Kunden
        • Branchenspezifische IT-Lösungen
          Branchenspezifische IT-Lösungen
          • Healthcare
            Healthcare
            • KHZG
            • ISMS
          • Energie & Versorgung
          • Öffentliche Verwaltung
          • Transport & Logistik
          • Industrie & Handel
          • Automotive
        • Branchenspezifische IT-Lösungen
          • Healthcare
          • Energie & Versorgung
          • Öffentliche Verwaltung
          • Transport & Logistik
          • Industrie & Handel
          • Automotive
      • Über SHD
        Über SHD
        • Entwicklung
        • Standorte
        • Partnerschaften
        • Engagement
      • Referenzen
      • Aktuelles
        Aktuelles
        • News
        • Veranstaltungen
        • Fachartikel
        • Podcast
      • Karriere
        Karriere
        • Bewerbungsprozess
        • Stellenangebote
          Stellenangebote
          • Einsteiger
          • Erfahrene
          • Schüler & Studenten
        • Jobs, die begeistern!
          Jobs, die begeistern!
          • Senior System Engineer
          • Softwareentwickler
          • IT-Consultant / Project Manager
          • BPM Consultant
          • Technology Consultant
          • Service Manager im Helpdesk
      • Kontakt
        Kontakt
        • Ansprechpartner
     
    • Startseite
    • Aktuelles
    •   
    • Neue Sicherheitslücke: Microsoft Exchange 0-Day RCE

    30.09.2022

    Neue Sicherheitslücke: Microsoft Exchange 0-Day RCE

    Seit dem 30.09.2022 ist ein neuer aktiv ausgenutzter Microsoft Exchange 0-Day im Umlauf. Diese Schwachstelle wurde im August 2022 durch das GTSC SOC Team erstmalig entdeckt. Die Schwachstelle ermöglicht eine Remote Code Execution (RCE) auf dem Zielsystem, und wurde daher als kritisch eingestuft. Die Schwachstelle nutzt Lücken im IIS Webserver aus (EWS,OWA). Nach dem derzeitigen Stand scheint es sich um eine modifizierte Version der "Proxyshell" Schwachstelle zu handeln. Die betroffenen Exchange Versionen sind ebenfalls noch unklar. Nach erfolgreichem Ausnutzen der Schwachstelle wird eine Webshell auf dem System hinterlegt und anschließend Schadcode nachgeladen.

    Die IT-Sicherheit unserer Kunden ist uns wichtig: daher informieren wir unsere Ansprechpartner proaktiv über Sicherheitslücken und zeigen, wie diese behoben werden können. Sprechen Sie uns für die zukünftige Weiterentwicklung Ihrer IT-Landschaft gern an!  
     

    Wir sind für Sie da


    Wer ist betroffen?

    Nach derzeitigem Erkenntnisstand sind alls Microsoft Exchange Server betroffen.

    Wie schütze ich mich?

    • Durchsuchen der IIS Logs nach IOCs
      • Per Powershell: Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200 
      • Per GTSC Tool: https://github.com/ncsgroupvn/NCSE0Scanner
    • Durchsuchen der Firewall Logs nach IOCs
    • Einschalten des "Request Blocking" im Frontend der IIS Autodiscover Ressource (im Vorfeld mit den Exchange Admins abzustimmen!)
      • Im Autodiscover Frontend den Tab "URL Rewrite" auswählen und anschließend "Request Blocking" aktivieren.

    • Hinzufügen des Strings “.*autodiscover\.json.*\@.*Powershell.*“ 

    • Condition Input:  {REQUEST_URI}

    IOCs

    Webshell:

    File Name: pxh4HG1v.ashx

                    Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

                    Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx

    File Name: RedirSuiteServiceProxy.aspx

                    Hash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5

                    Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx

    File Name: RedirSuiteServiceProxy.aspx

                    Hash (SHA256): b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca

                    Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx

    File Name: Xml.ashx

                    Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

                    Path: Xml.ashx

    Filename: errorEE.aspx

    SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257

    Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx

    DLL:

    File name: Dll.dll

    SHA256:

    074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82

    45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9

    9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0

    29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3

    c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2

    File name: 180000000.dll (Dump từ tiến trình Svchost.exe)

    SHA256: 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e

    IP:

    125[.]212[.]220[.]48

    5[.]180[.]61[.]17

    47[.]242[.]39[.]92

    61[.]244[.]94[.]85

    86[.]48[.]6[.]69

    86[.]48[.]12[.]64

    94[.]140[.]8[.]48

    94[.]140[.]8[.]113

    103[.]9[.]76[.]208

    103[.]9[.]76[.]211

    104[.]244[.]79[.]6

    112[.]118[.]48[.]186

    122[.]155[.]174[.]188

    125[.]212[.]241[.]134

    185[.]220[.]101[.]182

    194[.]150[.]167[.]88

    212[.]119[.]34[.]11

    URL:

    hxxp://206[.]188[.]196[.]77:8080/themes.aspx

    C2:

    137[.]184[.]67[.]33

    Quellen

    • Warning: New attack campaign utilized a new 0-day RCE vulnerability on Microsoft Exchange Server | Blog | GTSC - Cung cấp các dịch vụ bảo mật toàn diện (gteltsc.vn)

    weitere Beiträge:

    „City of ZTNA“ – der einfache Einstieg in Zer..
    SHD bei der doITbetter Conference 2022


    Alle News
    • News
    • Veranstaltungen
    • Fachartikel
    • Podcast

    Veranstaltungen

    27.04.2023 - 27.04.2023 | Sonderveranstaltung
    Girls´Day

    weitere

    Ansprechpartner

    Daniel Amlung

    Daniel Amlung System Engineer

    Drescherhäuser 5b, 01159 Dresden
    Tel.: +49 (351) 42 32-0

     
     
     
    SHD - Standorte
    <strong>SHD Geschäftsstelle Hamburg</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Berlin</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Lausitz</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Leipzig</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Nürnberg</strong><br />Kontaktinformationen<strong>SHD Hauptsitz Dresden</strong><br />KontaktinformationenSHD-StandorteCompass Gruppe
    Zertifizierungen

    SHD ist zertifiziert nach ISO 9001 und ISO 27001

    Social Media
    •  
    •  
    •  
    •  
    •  
    •  
    •  
    Portfolio
    • IT-Infrastruktur
    • IT-Security
    • IT-Service
    • ISMS und BCMS
    • Support- und Managed Services
    • Digitalisierung von Prozessen
    Kundenmagazin

    Alles Wichtige aus IT-Welt und SHD auf einen Blick

    SHD-News abonnieren

    © 2023 SHD System-Haus-Dresden GmbH
    • Start
    • Datenschutzinformation
    • Datenschutzinformation: Social-Media-Präsenzen
    • Sitemap
    • Impressum
    • Kontakt

    Schön, dass Sie sich für unser Angebot interessieren!

    Dürfen wir Ihnen regelmäßig interessante Neuigkeiten zu aktuellen IT-Themen senden?

    Newsletter abonnieren

    Schon von unserem Podcast gehört?

    Mit 'IT aufs Ohr' immer über aktuelle IT-Trends informiert sein.

    Podcast abonnieren

    Consent-Einstellungen