Del via

Få mere at vide om, hvordan du administrerer Log4Shell-sårbarheden i Microsoft Defender for Endpoint

  • Artikel

Log4Shell-sikkerhedsrisikoen er en RCE-sikkerhedsrisiko (remote code execution), der findes i Logføringsbiblioteket Apache Log4j 2. Da Apache Log4j 2 ofte bruges af mange softwareprogrammer og onlinetjenester, repræsenterer det en kompleks og højrisikosituation for virksomheder over hele verden. Kaldet "Log4Shell" (CVE-2021-44228, CVE-2021-45046) introducerer en ny angrebsvektor, som angribere kan udnytte til at udtrække data og installere ransomware i en organisation.

Bemærk!

Se blogs Vejledning til forebyggelse, registrering og jagt efter udnyttelse af Log4j 2-sårbarheden ogMicrosoft Security Response Center for at få vejledning og tekniske oplysninger om sårbarheden og produktspecifikke afhjælpningsanbefalinger for at beskytte din organisation.

Oversigt over registrerings-, overvågnings- og afhjælpningsfunktioner

Defender Vulnerability Management giver dig følgende funktioner, der kan hjælpe dig med at identificere, overvåge og afhjælpe din organisations eksponering for Log4Shell-sårbarheden:

  • Registrering: Registrering af eksponerede enheder, både Microsoft Defender for Endpoint onboardede enheder samt enheder, der er blevet opdaget, men endnu ikke er onboardet, er baseret på sårbar software og sårbare filer, der er registreret på disken.
  • Trusselsbevidsthed: En samlet visning til at vurdere din organisations eksponering. Denne visning viser din eksponering på enhedsniveau og softwareniveau og giver adgang til oplysninger om sårbare filer, f.eks. sidste gang den blev set, sidste gang den blev udført, og sidste gang den blev udført med åbne porte. Du kan bruge disse oplysninger til at prioritere dine afhjælpningshandlinger. Det kan tage op til 24 timer, før data, der er relateret til eksponerede enheder, vises på dashboardet.
  • Indstillinger for afhjælpning: Anvend afhjælpningsmuligheder som en hjælp til at reducere eksponeringsrisikoen.
  • Avanceret jagt: Brug avanceret jagt til at returnere oplysninger om sårbare log4j-filer, der er identificeret på disken.

Bemærk!

Disse funktioner understøttes på Windows 10 & Windows 11, Windows Server, Linux og macOS.

Support på Linux kræver Microsoft Defender for Endpoint Linux-klientversion 101.52.57 (30.121092.15257.0) eller nyere.

Support på macOS kræver Microsoft Defender for Endpoint macOS-klientversion 20.121111.15416.0 eller nyere.

Du kan få flere oplysninger om understøttede versioner under Understøttede operativsystemer og -funktioner.

Registrering af eksponerede enheder

Integrerede funktioner til administration af sårbarheder ved hjælp af Defender hjælper dig med at finde de enheder, der er udsat for Log4Shell-sårbarheden, sammen med aktivering af Log4j-registrering på Microsoft Defender-portalen.

Onboardede enheder vurderes ved hjælp af eksisterende integrerede Defender Vulnerability Management-funktioner, der kan finde sårbar software og filer.

Log4j-registrering skal være aktiveret for registrering på registrerede enheder, men endnu ikke onboardede enheder. Dette starter sonder på samme måde, som enhedsregistrering aktivt undersøger dit netværk. Dette omfatter undersøgelse fra flere onboardede slutpunkter (Windows 10+ og Windows Server 2019+ enheder) og kun sondering i undernet for at registrere enheder, der er sårbare og fjernudsat for CVE-2021-44228.

Sådan aktiveres Log4-registrering:

  1. Gå til Indstillinger>Konfiguration af enhedsregistrering>.
  2. Vælg Aktivér log4j2-registrering (CVE-2021-44228).
  3. Vælg Gem.

Skærmbillede af indstilling til aktivering af log4j2-registrering.

Kørsel af disse sonder udløser log4j-standardflowet uden at forårsage skadelige konsekvenser for enten den enhed, der undersøges, eller sondeenheden. Selve probing udføres ved at sende flere HTTP-anmodninger til registrerede enheder, der er målrettet til almindelige webprogramporte (f.eks. 80.8000.8080.443.8443) og URL-adresser. Anmodningen indeholder HTTP-headere med en JNDI-nyttedata, der udløser en DNS-anmodning fra den undersøgede computer.

For eksempel brugeragent: ${jndi:dns://192.168.1.3:5353/MDEDiscoveryUser-Agent}, hvor 192.168.1.3 er IP for probingmaskinen.

Bemærk!

Aktivering af Log4j2-registrering betyder også, at onboardede enheder bruger selvtestning til at registrere lokale sikkerhedsrisici.

Sårbar software- og filregistrering

Administration af sårbarheder i Defender indeholder registreringslag, der kan hjælpe dig med at finde:

  • Sårbar software: Registrering er baseret på installerede CPE-optællinger (Application Common Platform Enerations), der er kendt for at være sårbare over for udførelse af log4j-fjernkode.

  • Sårbare filer: Både filer i hukommelsen og filer i filsystemet vurderes. Disse filer kan være Log4j-core jar-filer med den kendte sårbare version eller en Uber-JAR, der indeholder enten en sårbar jndi-opslagsklasse eller en sårbar log4j-kernefil. Specifikt er det:

    • bestemmer, om en JAR-fil indeholder en sårbar Log4j-fil ved at undersøge JAR-filer og søge efter følgende fil: \META-INF\maven\org.apache.logging.log4j\log4j-core\pom.properties – hvis filen findes, læses og pakkes Log4j-versionen ud.
    • søger efter filen JndiLookup.class i JAR-filen ved at søge efter stier, der indeholder strengen "/log4j/core/lookup/JndiLookup.class" – hvis filen JndiLookup.class findes, bestemmer Defender Vulnerability Management, om denne JAR indeholder en Log4j-fil med den version, der er defineret i pom.properties.
    • søger efter sårbare Log4j-kerne JAR-filer, der er integreret i en indlejret JAR, ved at søge efter stier, der indeholder en af disse strenge:
      • lib/log4j-core-
      • WEB-INF/lib/log4j-core-
      • App-INF/lib/log4j-core-

I denne tabel beskrives de søgefunktioner, der understøttes af platforme og versioner:

Kapacitet Filtype Windows10+,
server2019+		 Server 2012R2,
server2016		 Server 2008R2 Linux + macOS
Søg i hukommelse Log4j-kerne Ja Ja[1] - Ja
Uber-JARs Ja Ja[1] - Ja
Søg alle filer på disken Log4j-kerne Ja Ja[1] Ja -
Uber-JARs Ja Ja[1] - -

(1) Funktioner er tilgængelige, når KB5005292 er installeret på Windows Server 2012 R2 og 2016.

Få mere at vide om dine indstillinger for Log4Shell-eksponering og -afhjælpning

  1. På portalen Microsoft Defender skal du gå til Svagheder i administration af>sårbarheder.
  2. Vælg CVE-2021-44228.
  3. Vælg siden Åbn sårbarhed.

Skærmbillede af siden med sårbarheder på dashboardet til administration af sårbarheder.

Afhjælpning af Log4Shell-sårbarhed

Sikkerhedsrisikoen log4Shell kan afhjælpes ved at forhindre JNDI-opslag i Log4j version 2.10 - 2.14.1 med standardkonfigurationer. Hvis du vil oprette denne afhjælpningshandling, skal du bruge dashboardet Trusselsbevidsthed:

  1. Vælg Vis oplysninger om sårbarhed.
  2. Vælg Afhjælpningsindstillinger.

Du kan vælge at anvende afhjælpningen på alle eksponerede enheder eller vælge bestemte onboardede enheder. Hvis du vil fuldføre processen og anvende afhjælpningen på enheder, skal du vælge Create afhjælpningshandling.

Skærmbillede af afhjælpningsmuligheder for CVE-2021-44228.

Afhjælpningsstatus

Afhjælpningsstatussen angiver, om afhjælpningen af den midlertidige løsning til deaktivering af JDNI-opslag er blevet anvendt på enheden. Du kan få vist afhjælpningsstatus for hver berørt enhed under fanerne Eksponerede enheder. Dette kan hjælpe med at prioritere afhjælpning og/eller programrettelse af enheder baseret på deres afhjælpningsstatus.

Skærmbillede af mulige afhjælpningsstatusser.

I nedenstående tabel vises de potentielle afhjælpningsstatusser:

Afhjælpningsstatus Beskrivelse
Anvendt løsning Windows: Miljøvariablen LOG4J_FORMAT_MSG_NO_LOOKUPS blev observeret, før den seneste enheds genstart.

Linux + macOS: Alle kørende processer har LOG4J_FORMAT_MSG_NO_LOOKUPS=true i sine miljøvariabler.
Midlertidig løsning, der afventer genstart Miljøvariablen LOG4J_FORMAT_MSG_NO_LOOKUPS er angivet, men der blev ikke registreret en efterfølgende genstart.
Ikke anvendt Windows: Miljøvariablen LOG4J_FORMAT_MSG_NO_LOOKUPS blev ikke observeret.

Linux + macOS: Det er ikke alle kørende processer, der har LOG4J_FORMAT_MSG_NO_LOOKUPS =sand i miljøvariabler, og afhjælpningshandlingen blev ikke anvendt på enheden.
Delvist afhjullet Linux + macOS: Selvom afhjælpningshandlingen blev anvendt på enheden, er det ikke alle kørende processer, der har LOG4J_FORMAT_MSG_NO_LOOKUPS=true i dens miljøvariabler.
Ikke relevant Enheder, der har sårbare filer, der ikke er inden for afhjælpningens versionsområde.
Unknown Afhjælpningsstatussen kunne ikke bestemmes på nuværende tidspunkt.

Bemærk!

Det kan tage et par timer, før den opdaterede afhjælpningsstatus for en enhed afspejles.

Tilbagefør de afhjælpninger, der er anvendt for Log4Shell-sårbarheden

I de tilfælde, hvor afhjælpningen skal gendannes, skal du følge disse trin:

Til Windows:

  1. Åbn et PowerShell-vindue med administratorrettigheder.
  2. Kør følgende kommando:
  [Environment]::SetEnvironmentVariable("LOG4J\_FORMAT\_MSG\_NO\_LOOKUPS", $null,[EnvironmentVariableTarget]::Machine)

Ændringen træder i kraft, når enheden er genstartet.

Til Linux:

  1. Åbn filen /osv./miljøet, og slet linjen LOG4J_FORMAT_MSG_NO_LOOKUPS=true
  2. Slet filen /etc/systemd/system.conf.d/log4j_disable_jndi_lookups.conf
  3. Slet filen /etc/systemd/user.conf.d/log4j_disable_jndi_lookups.conf

Ændringen træder i kraft, når enheden er genstartet.

Til macOS:

Fjern filsættet. LOG4J_FORMAT_MSG_NO_LOOKUPS.plist fra følgende mapper:

  • /Library/LaunchDaemons/
  • /Library/LaunchAgents/
  • /Users/[username]/Library/LaunchAgents/ - for alle brugere

Ændringen træder i kraft, når enheden er genstartet.

Apache Log4j-sikkerhedsanbefalinger

Hvis du vil se en aktiv sikkerhedsanbefaling, der er relateret til Apache log4j, skal du vælge fanen Sikkerhedsanbefalinger på siden med oplysninger om sårbarheder. Hvis du vælger Opdater Apache Log4j i dette eksempel, får du vist et andet pop op-vindue med flere oplysninger:

Skærmbillede af sikkerhedsanbefaling for opdatering apache log4j.

Vælg Anmod om afhjælpning for at oprette en afhjælpningsanmodning.

Udforsk sårbarheden på Microsoft Defender-portalen

Når blottede enheder, filer og software er fundet, formidles relevante oplysninger også via følgende oplevelser på Microsoft Defender-portalen:

Softwarelager

På softwareoversigtssiden skal du søge efter CVE-2021-44228 for at se detaljer om Log4j-softwareinstallationerne og eksponeringen:

Skærmbillede af log4j-sårbarhed på softwarelagersiden.

Svagheder

På siden svagheder skal du søge efter CVE-2021-44228 for at se oplysninger om Log4Shell-sårbarheden:

Skærmbillede af log4j-sårbarhed på siden svagheder.

Brug avanceret jagt

Du kan bruge følgende avancerede jagtforespørgsel til at identificere sikkerhedsrisici i installeret software på enheder:

   DeviceTvmSoftwareVulnerabilities
   | where CveId in ("CVE-2021-44228", "CVE-2021-45046")

Du kan bruge følgende avancerede jagtforespørgsel til at identificere sikkerhedsrisici i installeret software på enheder for at vise resultater på filniveau fra disken:

   DeviceTvmSoftwareEvidenceBeta
   | mv-expand DiskPaths
   | where DiskPaths contains "log4j"
   | project DeviceId, SoftwareName, SoftwareVendor, SoftwareVersion, DiskPaths