Jetzt patchen! Attacken auf Exchange Server im ProxyNotShell-Kontext gesichtet
Sicherheitsforscher warnen vor einem neuen Exploit, der ProxyNotShell-Schutzkonzepte umgeht. Es gibt aber Sicherheitsupdates.
(Bild: vectorfusionart/Shutterstock.com)
Angreifer haben es derzeit erneut auf verwundbare Exchange Server abgesehen und infizieren sie mit der Ransomware Play. Dabei kombinieren sie Sicherheitsforschern zufolge eine neue SicherheitslĂĽcke mit einer bereits bekannten Schadcode-Schwachstelle.
Videos by heise
Remote-Code-Execution-Attacken
Die ProxyNotShell-Lücken sorgten mehrere Wochen für Schlagzeilen, weil Microsoft knapp einen Monat lang bis zur Veröffentlichung von Sicherheitspatches gebraucht hat. Bis dahin wurden mehrere ausgebesserte Übergangslösungen zur Absicherung veröffentlicht.
Durch das erfolgreiche Ausnutzen der LĂĽcke (CVE-2022-41082 "hoch") haben authentifizierte Angreifer Schadcode auf Systemen ausgefĂĽhrt. Um in diese Position zu kommen, mussten sie aber vorher an einer weiteren Schwachstelle (CVE-2022-41040 "hoch") ansetzen. Dieser Kombination hat Microsoft mit den Sicherheitspatches vom Patchday im November 2022 einen Riegel vorgeschoben.
Neue Kombination
Wie Sicherheitsforscher von Crowdstrike herausgefunden haben, nutzen Angreifer nun einen Exploit aus, der als Einstiegspunkt an einer neuen LĂĽcke (CVE-2022-41080 "hoch") ansetzt, um im Anschluss den Erpressungstrojaner Play auf Systeme zu schieben (CVE-2022-41082). DafĂĽr sollen Angreifer am Outlook Web Access (OWA) ansetzen. Die neue Angriffsmethode fĂĽhren die Sicherheitsforscher in einem Beitrag aus.
Jetzt patchen!
Doch auch die neue Schwachstelle wurde im November geschlossen. Admins von Exchange Servern (on-premises) sollten also sicherstellen, dass der Sicherheitspatch (KB5019758) installiert ist. Ist eine Installation des Patches zurzeit nicht möglich, sollten Admins zum temporären Absichern von Systemen OWA deaktivieren, sodass Angreifer keinen Ansatzpunkt haben.
(des)
