Forscher haben herausgefunden, dass eine neue Microsoft Exchange-Schwachstelle verwendet wird, um Server anzugreifen und Fernzugriffstools und Fernverwaltungssoftware bereitzustellen.
Cybersicherheitsexperten von CrowdStrike sind bei der Untersuchung eines Play-Ransomware-Angriffs auf eine neue Exploit-Kette gestoßen. Nach weiterer Analyse kam man zu dem Schluss, dass die Exploit-Kette Schutzmaßnahmen für den ProxyNotShell-URL-Rewrite-Fehler umgeht und Bedrohungsakteuren Remote Code Execution (RCE)-Privilegien auf Zielendpunkten gewährt (öffnet in neuem Tab).
Sie nannten den Exploit OWASSRF und erklärten, dass die Angreifer Remote PowerShell nutzten, um Schwachstellen zu missbrauchen, die als CVE-2022-41080 und CVE-2022-41082 verfolgt werden.
Rechteausweitung auf Exchange-Servern
„Es schien, dass entsprechende Anfragen direkt über den Outlook Web Application (OWA)-Endpunkt gestellt wurden, was auf eine zuvor nicht bekannt gegebene Exploit-Methode für Exchange hinweist“, erklärten die Forscher in a Blogeintrag (öffnet in neuem Tab).
Als Microsoft CVE-2022-41080 zum ersten Mal entdeckte, bewertete es es als „kritisch“, da es die Eskalation von Remote-Privilegien auf Exchange-Servern ermöglichte, fügte aber auch hinzu, dass es keine Hinweise darauf gebe, dass der Fehler in freier Wildbahn ausgenutzt wird. Daher ist es schwierig festzustellen, ob der Fehler als Zero-Day missbraucht wurde, noch bevor der Patch verfügbar war.
Der Patch ist jedoch verfügbar, und allen Organisationen mit lokalen Microsoft Exchange-Servern wird empfohlen, mindestens das kumulative Update vom November 2022 anzuwenden, um auf der sicheren Seite zu bleiben. Wenn sie den Patch im Moment nicht anwenden können, wird empfohlen, OWA zu deaktivieren.
CrowdStrike geht davon aus, dass die Angreifer den Fehler nutzten, um die Fernzugriffstools Plink und AnyDesk sowie die Fernverwaltungssoftware ConnectWise bereitzustellen.
Microsoft Exchange-Server sind ein beliebtes Ziel für Cyberkriminelle, aber das Unternehmen ist sich dieser Tatsache bewusst und hat verschiedene Lösungen eingesetzt, um seine Kunden zu schützen. Unter anderem kündigte sie an, Anfang Januar 2023 die Basisauthentifizierung von Exchange Online dauerhaft abzuschalten.
„Ab Anfang Januar werden wir Message Center-Beiträge an betroffene Mieter senden, etwa 7 Tage bevor wir die Konfigurationsänderung vornehmen, um die Verwendung der Basisauthentifizierung für Protokolle im Geltungsbereich dauerhaft zu deaktivieren“, sagte das Unternehmen. „Kurz nachdem die Basisauthentifizierung dauerhaft deaktiviert wurde, erhalten alle Clients oder Apps, die sich über die Basisauthentifizierung mit einem der betroffenen Protokolle verbinden, einen ungültigen Benutzernamen/Passwort/HTTP 401-Fehler.“
Seit Jahren warnt Microsoft die Benutzer, dass die Exchange Online-Basisauthentifizierung irgendwann eingestellt und durch eine modernere Authentifizierungsmethode ersetzt wird.