Zjistěte, jak spravovat ohrožení zabezpečení Log4Shellu v Microsoft Defender for Endpoint

  • Článek

Chyba zabezpečení Log4Shellu je ohrožení zabezpečení vzdáleného spuštění kódu (RCE) zjištěné v knihovně protokolování Apache Log4j 2. Vzhledem k tomu, že Apache Log4j 2 běžně používá mnoho softwarových aplikací a online služby, představuje složitou a vysoce rizikovou situaci pro společnosti po celém světě. Označuje se jako Log4Shell (CVE-2021-44228, CVE-2021-45046) a zavádí nový vektor útoku, který útočníci můžou zneužít k extrakci dat a nasazení ransomwaru v organizaci.

Poznámka

Pokyny k prevenci, zjišťování a vyhledávání zneužití chyby zabezpečení Log4j 2 najdete v blogových pokynech a na webu Microsoft Security Response Center, kde najdete pokyny a technické informace o ohrožení zabezpečení a doporučeních ke zmírnění rizik specifických pro konkrétní produkty pro ochranu vaší organizace.

Přehled možností zjišťování, monitorování a zmírnění rizik

Správa ohrožení zabezpečení v programu Defender poskytuje následující funkce, které vám pomůžou identifikovat, monitorovat a zmírnit ohrožení zabezpečení log4Shellu v organizaci:

  • Zjišťování: Detekce vystavených zařízení, a to jak Microsoft Defender for Endpoint onboardovaných zařízení, tak zařízení, která byla zjištěna, ale ještě nejsou nasazená, je založená na zranitelném softwaru a ohrožených souborech zjištěných na disku.
  • Povědomí o hrozbách: Konsolidované zobrazení pro posouzení ohrožení vaší organizace. Toto zobrazení zobrazuje vaši expozici na úrovni zařízení a softwaru a poskytuje přístup k podrobnostem o ohrožených souborech, jako je čas posledního zobrazení, poslední spuštění a poslední spuštění s otevřenými porty. Tyto informace můžete použít k určení priority nápravných akcí. Může trvat až 24 hodin, než se data týkající se vystavených zařízení zobrazí na řídicím panelu.
  • Možnosti zmírnění rizik: Použijte možnosti zmírnění rizik, které vám pomůžou snížit riziko expozice.
  • Rozšířené proaktivní vyhledávání: Pomocí rozšířeného proaktivního vyhledávání můžete vrátit podrobnosti o ohrožených souborech log4j identifikovaných na disku.

Poznámka

Tyto funkce jsou podporované ve Windows 10 & Windows 11, Windows Serveru, Linuxu a macOS.

Podpora v Linuxu vyžaduje Microsoft Defender for Endpoint klienta Linux verze 101.52.57 (30.121092.15257.0) nebo novější.

Podpora v systému macOS vyžaduje Microsoft Defender for Endpoint klienta macOS verze 20.12111.15416.0 nebo novější.

Další informace o podporovaných verzích najdete v tématu Podporované platformy a možnosti operačních systémů.

Zjišťování vystavených zařízení

Integrované možnosti správy ohrožení zabezpečení v programu Defender společně s povolením detekce Log4j na portálu Microsoft Defender vám pomůžou zjistit zařízení vystavená ohrožení zabezpečení Log4Shellu.

Onboardovaná zařízení se posuzují pomocí stávajících integrovaných funkcí správy ohrožení zabezpečení programu Defender, které můžou zjišťovat ohrožený software a soubory.

Pro detekci na zjištěných zařízeních, která ještě nejsou nasazená, musí být povolená detekce Log4j. Tím se spustí sondy stejným způsobem, jakým zjišťování zařízení aktivně testuje vaši síť. To zahrnuje sondování z několika onboardovaných koncových bodů (zařízení Windows 10+ a Windows Server 2019 nebo novější) a pouze sondování v rámci podsítí, aby bylo rozpoznáno zařízení, která jsou zranitelná a vzdáleně vystavená CVE-2021-44228.

Povolení detekce Log4:

  1. Přejděte do Nastavení>>Nastavení Nastavení zjišťování zařízení.
  2. Vyberte Povolit detekci Log4j2 (CVE-2021-44228).
  3. Vyberte Uložit.

Snímek obrazovky s nastavením pro povolení detekce log4j2

Spuštěním těchto sond se aktivuje standardní tok Log4j, aniž by to mělo škodlivý dopad na zařízení, které se zkoumá, nebo na zkušební zařízení. Samotné zjišťování se provádí tak, že se do zjištěných zařízení odešle několik požadavků HTTP a cílí se na běžné porty webových aplikací (například – 80 8000 8080 443 8443) a adresy URL. Požadavek obsahuje hlavičky HTTP s datovou částí JNDI, která aktivuje požadavek DNS z prohledaného počítače.

Například User-Agent: ${jndi:dns://192.168.1.3:5353/MDEDiscoveryUser-Agent} kde 192.168.1.3 je IP adresa zkušebního počítače.

Poznámka

Povolení detekce Log4j2 také znamená, že onboardovaná zařízení budou používat k detekci místních ohrožení zabezpečení vlastní sondy.

Detekce zranitelného softwaru a souborů

Správa ohrožení zabezpečení v programu Defender poskytuje vrstvy detekce, které vám pomůžou zjistit:

  • Ohrožený software: Zjišťování je založené na nainstalovaných výčtech cpe (Common Platform Enumerations), o kterých se ví, že jsou zranitelné vůči vzdálenému spuštění kódu Log4j.

  • Ohrožené soubory: Posuzují se jak soubory v paměti, tak soubory v systému souborů. Tyto soubory můžou být soubory JAR Log4j-core se známou ohroženou verzí nebo soubor Uber-JAR, který obsahuje buď ohroženou vyhledávací třídu jndi, nebo ohrožený soubor log4j-core. Konkrétně se jedná o:

    • Zjistí, jestli soubor JAR obsahuje ohrožený soubor Log4j, a to prozkoumáním souborů JAR a vyhledáním následujícího souboru: \META-INF\maven\org.apache.logging.log4j\log4j-core\pom.properties – pokud tento soubor existuje, verze Log4j se přečte a extrahuje.
    • Vyhledá soubor JndiLookup.class v souboru JAR tak, že vyhledá cesty, které obsahují řetězec /log4j/core/lookup/JndiLookup.class – pokud soubor JndiLookup.class existuje, Správa ohrožení zabezpečení programu Defender určí, jestli tento soubor JAR obsahuje soubor Log4j s verzí definovanou v pom.properties.
    • vyhledá všechny ohrožené soubory LOG4j-core JAR vložené do vnořeného souboru JAR vyhledáním cest, které obsahují některý z těchto řetězců:
      • lib/log4j-core-
      • WEB-INF/lib/log4j-core-
      • App-INF/lib/log4j-core-

Tato tabulka popisuje možnosti vyhledávání podporovaných platforem a verzí:

Schopnosti Typ souboru Windows10+
server2019+		 Server 2012R2,
server2016		 Server 2008R2 Linux + macOS
Search In paměť Log4j-core Ano Ano[1] - Ano
Uber-JARs Ano Ano[1] - Ano
Search všechny soubory na disku Log4j-core Ano Ano[1] Ano -
Uber-JARs Ano Ano[1] - -

(1) Funkce jsou k dispozici při instalaci KB5005292 na Windows Server 2012 R2 a 2016.

Informace o ohrožení a možnostech zmírnění rizik v Log4Shellu

  1. Na portálu Microsoft Defender přejděte naSlabá místa správy >ohrožení zabezpečení.
  2. Vyberte CVE-2021-44228.
  3. Vyberte Otevřít stránku ohrožení zabezpečení.

Snímek obrazovky se stránkou ohrožení zabezpečení na řídicím panelu pro správu ohrožení zabezpečení

Zmírnění ohrožení zabezpečení Log4Shellu

Chybu zabezpečení log4Shellu je možné zmírnit tím, že zabráníte vyhledávání JNDI ve verzích Log4j 2.10 až 2.14.1 s výchozími konfiguracemi. Pokud chcete vytvořit tuto akci pro zmírnění rizik, na řídicím panelu pro sledování hrozeb:

  1. Vyberte Zobrazit podrobnosti o ohrožení zabezpečení.
  2. Vyberte Možnosti zmírnění rizik.

Můžete se rozhodnout použít zmírnění rizik u všech vystavených zařízení nebo vybrat konkrétní nasazená zařízení. Pokud chcete tento proces dokončit a použít zmírnění rizik na zařízeních, vyberte Create akci.

Snímek obrazovky s možnostmi zmírnění rizik pro CVE-2021-44228

Stav zmírnění rizik

Stav zmírnění rizik označuje, jestli se na zařízení použilo zmírnění alternativního řešení pro zakázání vyhledávání JDNI. Stav zmírnění rizik jednotlivých ovlivněných zařízení můžete zobrazit na kartách Vystavená zařízení. To může pomoct určit prioritu pro zmírnění rizik a/nebo opravy zařízení na základě jejich stavu.

Snímek obrazovky s možnými stavy zmírnění rizik

Následující tabulka uvádí potenciální stavy zmírnění rizik:

Stav zmírnění rizik Popis
Použili jsme alternativní řešení. Windows: Proměnná prostředí LOG4J_FORMAT_MSG_NO_LOOKUPS byla zjištěna před posledním restartováním zařízení.

Linux + macOS: Všechny spuštěné procesy mají ve svých proměnných prostředí LOG4J_FORMAT_MSG_NO_LOOKUPS=true.
Alternativní řešení čekající na restartování Proměnná prostředí LOG4J_FORMAT_MSG_NO_LOOKUPS je nastavená, ale nezjistilo se žádné následující restartování.
Nepoužádá se Windows: Proměnná prostředí LOG4J_FORMAT_MSG_NO_LOOKUPS nebyla pozorována.

Linux + macOS: Ne všechny spuštěné procesy mají v proměnných prostředí LOG4J_FORMAT_MSG_NO_LOOKUPS=true a na zařízení nebyla použita akce zmírňující opatření.
Částečně zmírněné Linux + macOS: I když se na zařízení použila akce zmírnění rizik, ne všechny spuštěné procesy mají v proměnných prostředí LOG4J_FORMAT_MSG_NO_LOOKUPS=true.
Neuplatňuje se Zařízení obsahující ohrožené soubory, které nejsou v rozsahu verzí zmírnění rizik.
Unknown (neznámý) Stav zmírnění rizik se v tuto chvíli nedá určit.

Poznámka

Může trvat několik hodin, než se aktualizovaný stav zmírnění rizik zařízení projeví.

Vrácení rizik použitých v případě chyby zabezpečení Log4Shellu

V případech, kdy je potřeba zmírnění rizik vrátit, postupujte takto:

Pro Windows:

  1. Otevřete okno PowerShellu se zvýšenými oprávněními.
  2. Spusťte následující příkaz:
  [Environment]::SetEnvironmentVariable("LOG4J\_FORMAT\_MSG\_NO\_LOOKUPS", $null,[EnvironmentVariableTarget]::Machine)

Změna se projeví po restartování zařízení.

Pro Linux:

  1. Otevřete soubor /etc/environment a odstraňte řádek LOG4J_FORMAT_MSG_NO_LOOKUPS=true.
  2. Odstranění souboru /etc/systemd/system.conf.d/log4j_disable_jndi_lookups.conf
  3. Odstranění souboru /etc/systemd/user.conf.d/log4j_disable_jndi_lookups.conf

Změna se projeví po restartování zařízení.

Pro macOS:

Odeberte soubor setenv. LOG4J_FORMAT_MSG_NO_LOOKUPS.plist z následujících složek:

  • /Library/LaunchDaemons/
  • /Library/LaunchAgents/
  • /Users/[uživatelské_jméno]/Library/LaunchAgents/ – pro všechny uživatele

Změna se projeví po restartování zařízení.

Doporučení k zabezpečení Apache Log4j

Pokud chcete zobrazit doporučení k aktivnímu zabezpečení související s Apache log4j, vyberte kartu Doporučení zabezpečení na stránce s podrobnostmi o ohrožení zabezpečení. Pokud v tomto příkladu vyberete Aktualizovat Apache Log4j , zobrazí se další informační panel s dalšími informacemi:

Snímek obrazovky s doporučením k zabezpečení aktualizace apache log4j

Vyberte Požádat o nápravu a vytvořte žádost o nápravu.

Prozkoumání ohrožení zabezpečení na portálu Microsoft Defender

Jakmile se najdou vystavená zařízení, soubory a software, budou relevantní informace předány také prostřednictvím následujících prostředí na portálu Microsoft Defender:

Inventář softwaru

Na stránce inventáře softwaru vyhledejte CVE-2021-44228 a podívejte se na podrobnosti o instalacích a expozici softwaru Log4j:

Snímek obrazovky s chybou zabezpečení log4j na stránce inventáře softwaru

Slabé stránky

Na stránce slabých míst vyhledejte CVE-2021-44228 a podívejte se na informace o ohrožení zabezpečení Log4Shellu:

Snímek obrazovky s chybou zabezpečení log4j na stránce slabých stránek

Použití rozšířeného proaktivního vyhledávání

K identifikaci ohrožení zabezpečení nainstalovaného softwaru na zařízeních můžete použít následující rozšířený dotaz proaktivního vyhledávání:

   DeviceTvmSoftwareVulnerabilities
   | where CveId in ("CVE-2021-44228", "CVE-2021-45046")

Pomocí následujícího rozšířeného dotazu proaktivního vyhledávání můžete identifikovat ohrožení zabezpečení v nainstalovaném softwaru na zařízeních a zjistit tak zjištění na úrovni souborů z disku:

   DeviceTvmSoftwareEvidenceBeta
   | mv-expand DiskPaths
   | where DiskPaths contains "log4j"
   | project DeviceId, SoftwareName, SoftwareVendor, SoftwareVersion, DiskPaths