Các lỗ hổng bảo mật được khai thác nhiều trong 6 tháng đầu năm 2023 - Phần 2

II. CVE-2019-18935: Lỗ hổng thực thi mã từ xa trên Telerik UI dành cho ASP.NET AJAX

Telerik UI dành cho ASP.NET AJAX là ứng dụng phổ biến hỗ trợ xây dựng các thành phần đồ họa cho nền tảng web được sử dụng phổ biến trong môi trường doanh nghiệp, tổ chức tại Việt Nam.

Thông tin chi tiết:

Lỗ hổng CVE-2019-18935 xảy ra do Telerik UI xử lý không an toàn khi deserialize các đối tượng có định dạng JSON qua thành phần RadAsyncUpload dẫn đến tin tặc có thể thực thi mã tùy ý với quyền của ứng dụng.

-      Phiên bản ảnh hưởng: Telerik UI dành cho ASP.NET AJAX các phiên bản từ Q1 2011 (2011.1.315) đến R3 2019 (2019.3.917).

-      Mức độ: Nghiêm Trọng.

-      Điều kiện khai thác: Máy chủ sử dụng cấu hình RadAsyncUpload mặc định.

Kịch bản tấn công:

Tin tặc có thể thực hiện các bước sau nhằm thực thi mã tùy ý trên máy chủ:

1. Kiểm tra thành phần RadAsyncUpload có thể truy nhập qua đường dẫn /Telerik.Web.UI.WebResource.axd?type=rau. Nếu thành công, thông điệp HTTP trả về sẽ có dạng: { "message" : "RadAsyncUpload handler is registered succesfully, however, it may not be accessed directly."}.

2. Kiểm tra phiên bản của Telerik UI. Số hiệu phiên bản có thể được tìm thấy trong nội dung HTML của trang chủ hoặc đoán bằng cách thử lần lượt các số hiệu khi khai thác.

3. Tạo một tệp DLL (có đuôi .dll) bằng trình biên dịch của C# với mã nguồn gồm cả mã C và C# (mã khai thác trong mã C).

4. Upload tệp DLL này lên máy chủ thông qua lỗ hổng CVE-2017-11317 cho phép upload tệp tùy ý.

5. Gửi một đối tượng JSON có tham chiếu tới tệp DLL đã upload ở bước trên tới ứng dụng để thực hiện deserialize, Telerik UI sẽ thực thi mã khai thác trong hàm DllMain() của tệp DLL này.

Các bước khai thác đều thực hiện thông qua gửi thông điệp HTTP tới địa chỉ http(s)://[Domain/IP]/Telerik.Web.UI.WebResource.axd?type=rau. Lỗ hổng này là kết hợp của lỗ hổng upload tệp tùy ý CVE-2017-11317 và lỗ hổng deserialize không an toàn các đối tượng JSON.

Dấu hiệu nhận biết:

· Truy vấn HTTP phương thức POST

· Truy vấn tới endpoint “/Telerik.Web.Ui.WebResource.axd?type=rau”

· Chứa tham số “rauPostData” kèm theo một chuỗi được mã hóa. Giải mã chuỗi này có dấu hiệu:

o Với CVE-2017-11317: có chứa các trường TargetFolder, TempTargetForder.

o Với CVE-2019-18935: có chứa type System.Configuration.Install.AssemblyInstaller và chuỗi “Path”.

Rule Detection:

Suricata:

alert http any any -> any any (msg:"Detecting Telerik exploit"; flow:to_server; content:"POST"; http_method; content:"/Telerik.Web.Ui.WebResource.axd?type=rau"; startswith; http_uri; content:"rauPostData"; http_client_body; metadata: author by Viettel Cyber Security; classtype:web-application-attack; sid:20171269; rev:1;)

Biện pháp khắc phục:

- Cập nhật Telerik UI dành cho ASP.NET AJAX lên phiên bản R3 2019 SP1 (2019.3.1023) hoặc mới hơn.

- Áp dụng cấu hình an toàn thông tin do nhà phát hành đề xuất tại https://docs.telerik.com/devtools/aspnet-ajax/controls/asyncupload/security#recommended-settings.

Truy vấn độc hại khai thác lỗ hổng trong một chiến dịch tấn công trong thực tế được Viettel Threat Intelligence ghi nhận.

Lỗ hổng CVE-2017-9248 trên Telerik:

Ngoài lỗ hổng CVE-2019-18935, Viettel Threat Intelligence cũng ghi nhận trong thực tế trường hợp khai thác một lỗ hổng khác trên Telerik là CVE-2017-9248.

Thông tin chi tiết:

CVE-2017-9248 tồn tại do mã hóa yếu trong tệp tin Telerik.Web.UI.dll (Telerik UI for ASP.NET AJAX components). Khai thác lỗ hổng này tin tặc có thể giải mã ra key (Telerik.Web.UI.DialogParametersEncryptionKey hoặc MachineKey), từ đó có được đường dẫn quản trị nội dung tệp tin và có thể tải tệp tin lên máy chủ nếu cấu hình cho phép (mặc định là cho phép).

-      Phiên bản ảnh hưởng: Phiên bản từ 2012.3.1308 đến 2017.1.118 (.NET 35, 40, 45).

-      Mức độ: Nghiêm Trọng.

Dấu hiệu nhận biết:

- Hàng loạt các gói tin tin tặc sử dụng brute force tham số dp:

· Truy vấn HTTP phương thức GET

· Truy vấn tới endpoint “/Telerik.Web.UI.DialogHandler.aspx”

· Chứa chuỗi “?DialogName=DocumentManager&renderMode=2&Skin=Default&Title=Document%20Manager&dpptn=&isRtl=false&dp=” trong URI.

- Sau khi có được key hợp lệ, tin tặc tải lên tệp bằng phương thức POST.

Ví dụ về truy vấn của tin tặc:

Rule Detection:

Suricata:

alert http any any -> any any (msg:"Detecting CVE-2017-9248 exploit"; flow:to_server; content:"GET"; http_method; content:"/Telerik.Web.UI.DialogHandler.aspx?DialogName=DocumentManager&renderMode=2&Skin=Default"; startswith; nocase; http_uri; content:"dpptn=&isRtl=false&dp="; http_uri; metadata: author by Viettel Cyber Security; classtype:web-application-attack; sid:20171270; rev:1;)

Dưới đây là một trường hợp tin tặc khai thác lỗ hổng này:

Như thường lệ tin tặc tải lên webshell trên hệ thống và tiến hành các hành vi độc hại tiếp theo.

Một trường hợp thông qua webshell tin tặc tiến hành chạy các câu lệnh thu thập thông tin của server như: whoami, net user, ipconfig, net start …

Một số hành vi khác sau khi khai thác lỗ hổng của tin tặc mà Viettel Threat Intelligence ghi nhận:

- Thực hiện dump password sử dụng mimikatz.

- Thực hiện các hành vi recon hệ thống.

- Add key Terminal Server, Add policy Firewall để mở port RDP.

- Tạo revershell.

- Tạo các user trên hệ thống và đăng nhập các hệ thống khác.

- Thay đổi giao diện trang web.

III. CVE-2022-41040 | CVE-2022-41082 – ProxyNotShell: Các lỗ hổng thực thi mã từ xa trên Microsoft Exchange Server

Microsoft Exchange Server là sản phẩm email server được sử dụng phổ biến nhất trong môi trường doanh nghiệp tại Việt Nam và trên thế giới. Đây là các lỗ hổng được ghi nhận sử dụng nhiều trong các cuộc tấn công thực tế nhắm vào các tổ chức doanh nghiệp trước khi thông tin về lỗ hổng được công bố (tháng 10/2022) cho tới thời điểm hiện tại. Một số hình thức bypass cũng đã được tin tặc sử dụng trong thực tế.

- Mức độ: Nghiêm Trọng

- Điều kiện tiên quyết:

· Hệ thống sử dụng Microsoft Exchange Server các phiên bản:

o    Microsoft Exchange Server 2016 Cumulative Update 23

o    Microsoft Exchange Server 2019 Cumulative Update 12

o    Microsoft Exchange Server 2019 Cumulative Update 11

o    Microsoft Exchange Server 2016 Cumulative Update 22

o    Microsoft Exchange Server 2013 Cumulative Update 23

· Tin tặc có khả năng kết nối mạng tới hệ thống và có đặc quyền xác thực.

· Máy chủ chưa cài đặt bản vá của Microsoft cho lỗ hổng.

1. CVE-2022-41040: Lỗ hổng Server Side Request Forgery (SSRF)

Lỗ hổng tồn tại do cho lỗ hổng CVE-2021-34473 trước đó là không hoàn chỉnh. Trong lỗ hổng CVE-2021-34473, tin tặc có thể bỏ xác thực để cập các API nội bộ của Exchange Server. Bản vá cho lỗ hổng này chỉ thành công trong việc giới hạn truy cập cho những người dùng đã đăng nhập vào hệ thống. Tin tặc với một tài khoản trong hệ thống vẫn có thể khai thác lỗ hổng.

2. CVE-2022-41082: Lỗ hổng Insecure Deserialization dẫn đến thực thi mã từ xa

API /Powershell là một API cục bộ của Exchange Server. Lỗ hổng tồn tại do máy chủ thực hiện deserialize dữ liệu từ người dùng mà không kiểm soát các kiểu đối tượng được sử dụng. Tin tặc có thể chọn các đối tượng thích hợp để thực thi mã tùy ý trên máy chủ.

Cách thức bypass được tin tặc sử dụng:

Vào tháng 12/2022, Các nhà nghiên cứu tại CrowdStrike phát hiện ra phương thức khai thác (được đặt tên là OWASSRF) được mã độc Play Ransomware sử dụng trong các cuộc tấn công máy chủ Microsoft Exchange. URI khai thác của tin tặc có dạng /owa/<email_address>/powershell. Các yêu cầu HTTP đến endpoint này được chuyển tiếp đến API /Powershell cục bộ, từ đó, tin tặc không cần khai thác lỗ hổng CVE-2022-41040 thông qua API /autodiscover/autodiscover.json mà vẫn có thể đến được API /Powershell để kích hoạt lỗ hổng CVE-2022-41082.

Phương án giảm thiểu từ Microsoft chặn các yêu cầu HTTP theo regex "(?=.*autodiscover)(?=.*powershell)" cho lỗ hổng CVE-2022-41040, vì vậy không thể chặn các yêu cầu HTTP sử dụng phương pháp bypass này.

Kịch bản tấn công khai thác lỗ hổng:

Hãng Microsoft cũng ghi nhận một số cuộc tấn công sử dụng các lỗ hổng này từ tháng 8/2022. Tin tặc đã khai thác CVE-2022-41040 để kích hoạt CVE-2022-41082, sau đó tải lên Chopper web shell trên hệ thống mục tiêu và thực thi mã từ xa, từ đó do thám Active Directory và lấy cắp thông tin nhạy cảm trên hệ thống.

Trong quá trình giám sát nguy cơ trên không gian mạng, Viettel Threat Intelligence cũng ghi nhận thông tin về chiến dịch tấn công khai thác lỗ hổng này của Microsoft Exchange Server vào các tổ chức tại Việt Nam.

Dấu hiệu nhận biết:

- Gói tin tin tặc sử dụng để khai thác lỗ hổng có các dấu hiệu sau:

- Truy vấn HTTP phương thức POST

- Trong URI có chứa chuỗi: "autodiscover.json" hoặc "owa"

- Trong URI có chứa chuỗi: "powershell"

- Trong phần thân payload có thể chứa chuỗi "N="SerializationData">AAEAAAD" (Dấu hiệu khai thác lỗ hổng deserialization dữ liệu)

Rule Detection:

Suricata:

alert http any any -> any any (msg:"Detecting Exploit 0-day Exchange Exploit (autodiscover)"; flow:to_server; content:"POST"; http_method; content:"autodiscover.json"; http_uri; content:"powershell"; nocase; http_uri; metadata: author by Viettel Cyber Security; classtype:web-application-attack; sid:20224344; rev:4;)

alert http any any -> any any (msg:"Detecting Exploit 0-day Exchange Exploit (owa)"; flow:to_server; content:"POST"; http_method; content:"owa"; http_uri; content:"powershell"; nocase; http_uri; metadata: author by Viettel Cyber Security; classtype:web-application-attack; sid:20224344; rev:5;)

Hunting Rule:

Nhằm kiểm tra hệ thống đã bị tấn công bởi lổ hỗng này, các đơn vị/tổ chức có thể thực hiện theo cách thức sau:

Sử dụng powershell với câu lệnh sau: (Sử dụng powershell để thực hiện search trên toàn bộ folder log IIS mất khá nhiều thời gian)

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

Cấu hình mặc định IIS log nằm tại đường dẫn “%SystemDrive%\inetpub\logs\LogFiles”

Biện pháp khắc phục:

Hiện tại lỗ hổng đã có bản vá từ hãng, VCS-TI khuyến nghị quản trị viên cập nhật bản vá cho lỗ hổng:

- Trong trường hợp chưa thể cập nhật bản vá, VCS-TI khuyến nghị quản trị viên vui lòng thực hiện các biện pháp khắc phục tạm thời như sau:

· Chặn các yêu cầu HTTP tới máy chủ theo dấu hiệu nhận biết trên.

· VCS-TI cũng khuyến nghị quản trị viên vô hiệu hóa quyền truy cập PowerShell từ xa cho người dùng không phải quản trị viên. Chi tiết hướng dẫn xem tại:

· https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers?view=exchange-ps&viewFallbackFrom=exchange-ps%22%20%5Cl%20%22use-the-exchange-management-shell-to-enable-or-disable-remote-powershell-access-for-a-user

- Truy vấn độc hại khai thác lỗ hổng trong một chiến dịch tấn công trong thực tế được Viettel Cyber Security ghi nhận.

Exchange là một mục tiêu ưa thích của các nhóm tấn công nên ngoài ProxyNotShell, các lỗ hổng từ trước có mức độ Cao và Nghiêm Trọng trên Exchange Server cũng được sử dụng nhiều trong các chiến dịch nhắm vào các tổ chức, doanh nghiệp trong giai đoạn 6 tháng đầu năm 2023.

IOCs

Webshell:

· File Name: pxh4HG1v.ashx

· Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

· Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx

· File Name: RedirSuiteServiceProxy.aspx

· Hash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5

· Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx

· File Name: RedirSuiteServiceProxy.aspx

· Hash (SHA256): b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca

· Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx

· File Name: Xml.ashx

· Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

· Path: C:\inetpub\wwwroot\aspnet_client\Xml.ashx

· Filename: errorEE.aspx

· SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257

· Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx

DLL

· File name: Dll.dll

SHA256:

· 074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82

· 45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9

· 9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c

· 29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3

· c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2

· File name: 180000000.dll (Dump từ tiến trình Svchost.exe)

SHA256:

· 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e

IP:

· 125[.]212[.]220[.]48

· 5[.]180[.]61[.]17

· 47[.]242[.]39[.]92

· 61[.]244[.]94[.]85

· 86[.]48[.]6[.]69

· 86[.]48[.]12[.]64

· 94[.]140[.]8[.]48

· 94[.]140[.]8[.]113

· 103[.]9[.]76[.]208

· 103[.]9[.]76[.]211

· 104[.]244[.]79[.]6

· 112[.]118[.]48[.]186

· 122[.]155[.]174[.]188

· 125[.]212[.]241[.]134

· 185[.]220[.]101[.]182

· 194[.]150[.]167[.]88

· 212[.]119[.]34[.]11

URL:

· hxxp://206[.]188[.]196[.]77:8080/themes.aspx

C2:

· 137[.]184[.]67[.]33

· 216.128.146[.]38

· 95.179.162[.]125

· 192.248.176[.]138

· 140.82.52[.]35

· 45.32.144[.]71

Lưu ý: Bỏ [] khi thêm IOC vào hệ thống.

Lời kết:

Trên đây là một số lỗ hổng được sử dụng nhiều trong các chiến dịch tấn công trên thực tế trong giai đoạn 6 tháng đầu năm nay. Dự báo trong giai đoạn 6 tháng cuối năm 2023, các nhóm tin tặc vẫn sẽ tiếp tục nhắm tới việc khai thác các lỗ hổng đã được công bố với mức độ Cao, Nghiêm Trọng trên các sản phẩm phổ biến như CMS, Email Server, các giải pháp bảo mật, các nền tảng quản lý công việc, … Đi kèm với đó là các lỗ hổng mới được công bố cũng sẽ được các nhóm tấn công sử dụng trước thời điểm thông tin của các lỗ hổng này được công bố trên không gian mạng. Viettel Threat Intelligence khuyến nghị quản trị viên nắm thông tin kịp thời, cập nhật và thực hiện các biện pháp bảo mật cho hệ thống để đảm bảo an toàn thông tin cho tổ chức.

Reference:
• https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/
• https://www.microsoft.com/en-us/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/
• https://ncsgroup.vn/canh-bao-chien-dich-tan-cong-su-dung-lo-hong-zero-day-tren-microsoft-exchange-server/