Share via

Meer informatie over het beheren van het Log4Shell-beveiligingsprobleem in Microsoft Defender voor Eindpunt

  • Artikel

Het Log4Shell-beveiligingsprobleem is een rce-beveiligingsprobleem (remote code execution) in de logboekbibliotheek van Apache Log4j 2. Omdat Apache Log4j 2 vaak wordt gebruikt door veel softwaretoepassingen en onlineservices, vertegenwoordigt het een complexe en risicovolle situatie voor bedrijven over de hele wereld. Aangeduid als 'Log4Shell' (CVE-2021-44228, CVE-2021-45046) introduceert het een nieuwe aanvalsvector die aanvallers kunnen misbruiken om gegevens te extraheren en ransomware in een organisatie te implementeren.

Opmerking

Raadpleeg de blogs Richtlijnen voor het voorkomen, detecteren en opsporen van misbruik van het Log4j 2-beveiligingsprobleem enMicrosoft Security Response Center voor richtlijnen en technische informatie over de aanbevelingen voor beveiligingsproblemen en productspecifieke risicobeperking om uw organisatie te beschermen.

Overzicht van detectie-, bewakings- en risicobeperkingsmogelijkheden

Defender Vulnerability Management biedt u de volgende mogelijkheden om u te helpen bij het identificeren, bewaken en beperken van de blootstelling van uw organisatie aan het Log4Shell-beveiligingsprobleem:

  • Detectie: Detectie van blootgestelde apparaten, zowel Microsoft Defender voor Eindpunt onboarded-apparaten als apparaten die zijn gedetecteerd maar nog niet zijn onboarded, is gebaseerd op kwetsbare software en kwetsbare bestanden die op schijf zijn gedetecteerd.
  • Bedreigingsbewustzijn: Een geconsolideerde weergave om de blootstelling van uw organisatie te beoordelen. Deze weergave toont uw blootstelling op apparaat- en softwareniveau en biedt toegang tot details over kwetsbare bestanden, zoals de laatste keer dat deze is gezien, de laatste keer dat deze is uitgevoerd en de laatste keer dat deze is uitgevoerd met open poorten. U kunt deze informatie gebruiken om prioriteit te geven aan uw herstelacties. Het kan tot 24 uur duren voordat gegevens met betrekking tot blootgestelde apparaten op het dashboard worden weergegeven.
  • Risicobeperkingsopties: Pas risicobeperkingsopties toe om uw blootstellingsrisico te verlagen.
  • Geavanceerde opsporing: Gebruik geavanceerde opsporing om details te retourneren voor kwetsbare log4j-bestanden die op schijf zijn geïdentificeerd.

Opmerking

Deze mogelijkheden worden ondersteund op Windows 10 & Windows 11, Windows Server, Linux en macOS.

Voor ondersteuning op Linux is Microsoft Defender voor Eindpunt Linux-clientversie 101.52.57 (30.121092.15257.0) of hoger vereist.

Voor ondersteuning op macOS is Microsoft Defender voor Eindpunt macOS-client versie 20.121111.15416.0 of hoger vereist.

Zie Ondersteunde besturingssystemen en mogelijkheden voor meer informatie over ondersteunde versies.

Detectie van blootgestelde apparaten

Ingesloten mogelijkheden voor beheer van beveiligingsproblemen van Defender, samen met het inschakelen van Log4j-detectie, in de Microsoft Defender-portal, helpen u apparaten te detecteren die zijn blootgesteld aan het Log4Shell-beveiligingsprobleem.

Onboarded apparaten worden beoordeeld met behulp van bestaande ingesloten Defender Vulnerability Management-mogelijkheden waarmee kwetsbare software en bestanden kunnen worden gedetecteerd.

Voor detectie op gedetecteerde maar nog niet onboarded apparaten moet Log4j-detectie zijn ingeschakeld. Hiermee worden tests gestart op dezelfde manier als apparaatdetectie actief uw netwerk test. Dit omvat het testen van meerdere onboarding-eindpunten (Windows 10+ en Windows Server 2019+-apparaten) en alleen testen binnen subnetten, om apparaten te detecteren die kwetsbaar zijn en op afstand beschikbaar zijn voor CVE-2021-44228.

Log4-detectie inschakelen:

  1. Ga naar Instellingen>Detectie van> apparaatdetectieinstellen.
  2. Selecteer Log4j2-detectie inschakelen (CVE-2021-44228).
  3. Klik op Opslaan.

Schermopname van de instelling om log4j2-detectie in te schakelen.

Als u deze tests uitvoert, wordt de standaard-Log4j-stroom geactiveerd zonder schadelijke gevolgen te hebben voor het apparaat dat wordt onderzocht of het testapparaat. De test zelf wordt uitgevoerd door meerdere HTTP-aanvragen te verzenden naar gedetecteerde apparaten, gericht op algemene webtoepassingspoorten (bijvoorbeeld 80.8000.8080.443.8443) en URL's. De aanvraag bevat HTTP-headers met een JNDI-nettolading die een DNS-aanvraag activeert vanaf de testcomputer.

Bijvoorbeeld User-Agent: ${jndi:dns://192.168.1.3:5353/MDEDiscoveryUser-Agent} waarbij 192.168.1.3 het IP-adres is van de testcomputer.

Opmerking

Het inschakelen van Log4j2-detectie betekent ook dat onboarding-apparaten zelfproken gebruiken om lokale beveiligingsproblemen te detecteren.

Detectie van kwetsbare software en bestanden

Defender Vulnerability Management biedt detectielagen om u te helpen het volgende te detecteren:

  • Kwetsbare software: Detectie is gebaseerd op geïnstalleerde cpe (Common Platform Enumerations) van de toepassing die kwetsbaar is voor het uitvoeren van externe Log4j-code.

  • Kwetsbare bestanden: Zowel bestanden in het geheugen als bestanden in het bestandssysteem worden beoordeeld. Deze bestanden kunnen Log4j-core JAR-bestanden zijn met de bekende kwetsbare versie of een Uber-JAR die een kwetsbare jndi-opzoekklasse of een kwetsbaar log4j-core-bestand bevat. In het bijzonder:

    • bepaalt of een JAR-bestand een kwetsbaar Log4j-bestand bevat door JAR-bestanden te onderzoeken en te zoeken naar het volgende bestand: \META-INF\maven\org.apache.logging.log4j\log4j-core\pom.properties. Als dit bestand bestaat, wordt de Log4j-versie gelezen en geëxtraheerd.
    • zoekt naar het bestand JndiLookup.class in het JAR-bestand door te zoeken naar paden die de tekenreeks '/log4j/core/lookup/JndiLookup.class' bevatten. Als het bestand JndiLookup.class bestaat, bepaalt Defender Vulnerability Management of dit JAR een Log4j-bestand bevat met de versie die is gedefinieerd in pom.properties.
    • zoekt naar kwetsbare Log4j-core JAR-bestanden die zijn ingesloten in een geneste JAR door te zoeken naar paden die een van deze tekenreeksen bevatten:
      • lib/log4j-core-
      • WEB-INF/lib/log4j-core-
      • App-INF/lib/log4j-core-

In deze tabel worden de zoekmogelijkheden beschreven die worden ondersteund voor platforms en versies:

Functie Bestandstype Windows10+,
server2019+		 Server 2012R2,
server2016		 Server 2008R2 Linux + macOS
Search In geheugen Log4j-core Ja Ja[1] - Ja
Uber-JARs Ja Ja[1] - Ja
alle bestanden op schijf Search Log4j-core Ja Ja[1] Ja -
Uber-JARs Ja Ja[1] - -

(1) Mogelijkheden zijn beschikbaar wanneer KB5005292 is geïnstalleerd op Windows Server 2012 R2 en 2016.

Meer informatie over uw opties voor blootstelling en risicobeperking in Log4Shell

  1. Ga in de Microsoft Defender-portal naar Zwakke plekken in het beheer van>beveiligingsproblemen.
  2. Selecteer CVE-2021-44228.
  3. Selecteer De pagina Beveiligingsprobleem openen.

Schermopname van de pagina beveiligingsproblemen op het dashboard voor beheer van beveiligingsproblemen.

Beperking van beveiligingsproblemen in Log4Shell

Het log4Shell-beveiligingsprobleem kan worden opgelost door JNDI-zoekopdrachten te voorkomen in Log4j-versies 2.10 - 2.14.1 met standaardconfiguraties. Ga als volgt te werk om deze beperkingsactie te maken vanuit het dashboard Bedreigingsbewustzijn:

  1. Selecteer Details van beveiligingsproblemen weergeven.
  2. Selecteer Risicobeperkingsopties.

U kunt ervoor kiezen om de beperking toe te passen op alle blootgestelde apparaten of specifieke onboarded apparaten te selecteren. Als u het proces wilt voltooien en de beperking op apparaten wilt toepassen, selecteert u Creatie beperkingsactie.

Schermopname van beperkingsopties voor CVE-2021-44228.

Beperkingsstatus

De beperkingsstatus geeft aan of de tijdelijke oplossing voor het uitschakelen van JDNI-zoekacties is toegepast op het apparaat. U kunt de risicobeperkingsstatus voor elk betrokken apparaat bekijken op de tabbladen Blootgestelde apparaten. Dit kan helpen bij het prioriteren van risicobeperking en/of patching van apparaten op basis van hun beperkingsstatus.

Schermopname van Mogelijke risicobeperkingsstatussen.

De onderstaande tabel bevat de mogelijke risicobeperkingsstatussen:

Beperkingsstatus Omschrijving
Tijdelijke oplossing toegepast Windows: de omgevingsvariabele LOG4J_FORMAT_MSG_NO_LOOKUPS is waargenomen voordat het apparaat opnieuw is opgestart.

Linux + macOS: alle actieve processen hebben LOG4J_FORMAT_MSG_NO_LOOKUPS=true in de omgevingsvariabelen.
Tijdelijke oplossing in afwachting van opnieuw opstarten De omgevingsvariabele LOG4J_FORMAT_MSG_NO_LOOKUPS is ingesteld, maar er is geen herstart gedetecteerd.
Niet toegepast Windows: de omgevingsvariabele LOG4J_FORMAT_MSG_NO_LOOKUPS is niet waargenomen.

Linux en macOS: niet alle actieve processen hebben LOG4J_FORMAT_MSG_NO_LOOKUPS=true in de omgevingsvariabelen en er is geen beperkingsactie toegepast op het apparaat.
Gedeeltelijk verzacht Linux + macOS: hoewel de beperkingsactie is toegepast op het apparaat, hebben niet alle actieve processen LOG4J_FORMAT_MSG_NO_LOOKUPS=true in de omgevingsvariabelen.
Niet van toepassing Apparaten met kwetsbare bestanden die zich niet in het versiebereik van de beperking bevinden.
Unknown De beperkingsstatus kan momenteel niet worden bepaald.

Opmerking

Het kan enkele uren duren voordat de bijgewerkte beperkingsstatus van een apparaat wordt weergegeven.

Beperking van herstel die is toegepast op het Log4Shell-beveiligingsprobleem

In gevallen waarin de beperking moet worden teruggedraaid, volgt u deze stappen:

Voor Windows:

  1. Open een verhoogd PowerShell-venster.
  2. Voer de volgende opdracht uit:
  [Environment]::SetEnvironmentVariable("LOG4J\_FORMAT\_MSG\_NO\_LOOKUPS", $null,[EnvironmentVariableTarget]::Machine)

De wijziging wordt van kracht nadat het apparaat opnieuw is opgestart.

Voor Linux:

  1. Open het bestand /etc/environment en verwijder de regel LOG4J_FORMAT_MSG_NO_LOOKUPS=true
  2. Het bestand /etc/systemd/system.conf.d/log4j_disable_jndi_lookups.conf verwijderen
  3. Het bestand /etc/systemd/user.conf.d/log4j_disable_jndi_lookups.conf verwijderen

De wijziging wordt van kracht nadat het apparaat opnieuw is opgestart.

Voor macOS:

Verwijder de bestandssetenv. LOG4J_FORMAT_MSG_NO_LOOKUPS.plist uit de volgende mappen:

  • /Library/LaunchDaemons/
  • /Library/LaunchAgents/
  • /Users/[username]/Library/LaunchAgents/ - voor alle gebruikers

De wijziging wordt van kracht nadat het apparaat opnieuw is opgestart.

Aanbevelingen voor Apache Log4j-beveiliging

Als u actieve beveiligingsaanbeveling met betrekking tot Apache log4j wilt zien, selecteert u het tabblad Beveiligingsaanbeveling op de pagina met details van beveiligingsproblemen. Als u in dit voorbeeld Apache Log4j bijwerken selecteert, ziet u een andere flyout met meer informatie:

Schermopname van de beveiligingsaanbeveling voor Apache Log4j bijwerken.

Selecteer Herstel aanvragen om een herstelaanvraag te maken.

Het beveiligingsprobleem verkennen in de Microsoft Defender-portal

Zodra er apparaten, bestanden en software zijn gevonden, wordt relevante informatie ook overgebracht via de volgende ervaringen in de Microsoft Defender portal:

Software-inventaris

Zoek op de pagina software-inventarisatie naar CVE-2021-44228 voor meer informatie over de Log4j-software-installaties en -blootstelling:

Schermopname van het log4j-beveiligingsprobleem op de pagina software-inventarisatie.

Zwakke punten

Zoek op de pagina zwakke punten naar CVE-2021-44228 om informatie te bekijken over het Log4Shell-beveiligingsprobleem:

Schermopname van log4j-kwetsbaarheid op de pagina zwakke punten.

Geavanceerde opsporing gebruiken

U kunt de volgende geavanceerde opsporingsquery gebruiken om beveiligingsproblemen in geïnstalleerde software op apparaten te identificeren:

   DeviceTvmSoftwareVulnerabilities
   | where CveId in ("CVE-2021-44228", "CVE-2021-45046")

U kunt de volgende geavanceerde opsporingsquery gebruiken om beveiligingsproblemen in geïnstalleerde software op apparaten te identificeren om resultaten op bestandsniveau van de schijf te verkrijgen:

   DeviceTvmSoftwareEvidenceBeta
   | mv-expand DiskPaths
   | where DiskPaths contains "log4j"
   | project DeviceId, SoftwareName, SoftwareVendor, SoftwareVersion, DiskPaths