Jetzt patchen! Attacken auf Exchange Server im ProxyNotShell-Kontext gesichtet
Sicherheitsforscher warnen vor einem neuen Exploit, der ProxyNotShell-Schutzkonzepte umgeht. Es gibt aber Sicherheitsupdates.
Angreifer haben es derzeit erneut auf verwundbare Exchange Server abgesehen und infizieren sie mit der Ransomware Play. Dabei kombinieren sie Sicherheitsforschern zufolge eine neue Sicherheitslücke mit einer bereits bekannten Schadcode-Schwachstelle.
Remote-Code-Execution-Attacken
Die ProxyNotShell-Lücken sorgten mehrere Wochen für Schlagzeilen, weil Microsoft knapp einen Monat lang bis zur Veröffentlichung von Sicherheitspatches gebraucht hat. Bis dahin wurden mehrere ausgebesserte Übergangslösungen zur Absicherung veröffentlicht.
Durch das erfolgreiche Ausnutzen der Lücke (CVE-2022-41082 "hoch") haben authentifizierte Angreifer Schadcode auf Systemen ausgeführt. Um in diese Position zu kommen, mussten sie aber vorher an einer weiteren Schwachstelle (CVE-2022-41040 "hoch") ansetzen. Dieser Kombination hat Microsoft mit den Sicherheitspatches vom Patchday im November 2022 einen Riegel vorgeschoben.
Neue Kombination
Wie Sicherheitsforscher von Crowdstrike herausgefunden haben, nutzen Angreifer nun einen Exploit aus, der als Einstiegspunkt an einer neuen Lücke (CVE-2022-41080 "hoch") ansetzt, um im Anschluss den Erpressungstrojaner Play auf Systeme zu schieben (CVE-2022-41082). Dafür sollen Angreifer am Outlook Web Access (OWA) ansetzen. Die neue Angriffsmethode führen die Sicherheitsforscher in einem Beitrag aus.
Jetzt patchen!
Doch auch die neue Schwachstelle wurde im November geschlossen. Admins von Exchange Servern (on-premises) sollten also sicherstellen, dass der Sicherheitspatch (KB5019758) installiert ist. Ist eine Installation des Patches zurzeit nicht möglich, sollten Admins zum temporären Absichern von Systemen OWA deaktivieren, sodass Angreifer keinen Ansatzpunkt haben.
(des)