Now Reading
Ransomware-Hacker verwenden eine neue Methode, um MS Exchange ProxyNotShell-Mitigationen zu umgehen

Ransomware-Hacker verwenden eine neue Methode, um MS Exchange ProxyNotShell-Mitigationen zu umgehen

MS Exchange ProxyNotShell RCE

[ad_1]

21. Monat der Wintersonnenwende 2022Ravie LakshmananElektronische Post-Sicherheit / Datensicherheit

MS Exchange ProxyNotShell RCE

Bedrohungsakteure, die mit einem Ransomware-Stamm namens Play in Verkettung stillstehen, nutzen eine nie zuvor gesehene Exploit-Kettenfäden, die Blockierungsregeln pro ProxyNotShell-Fehler in Microsoft Exchange Server umgeht, um Remote Kennung Execution (RCE) darüber hinaus Outlook Web Access (OWA) zu gelingen.

„Die neue Exploit-Methode umgeht URL-Rewrite-Minderungen pro den Autodiscover-Endpunkt“, sagten die CrowdStrike-Forscher Brian Pitchford, Erik Iker und Nicolas Zilio in einem am zweiter Tag der Woche veröffentlichten technischen Berichterstattung.

Play-Ransomware, die erstmals im Rosenmonat 2022 auftauchte, hat sich qua Übernehmen vieler Taktiken anderer Ransomware-Familien wie Hive und Nokoyawa erwiesen, von denen letztere im September 2022 gen Rust aktualisiert wurden.

Internet-Sicherheit

Die Untersuchungen des Cybersicherheitsunternehmens zu mehreren Play-Ransomware-Eindringlingen ergaben, dass jener anfängliche Zugriff gen die Zielumgebungen nicht durch die direkte Auswertung von CVE-2022-41040, sondern darüber hinaus den OWA-Endpunkt erfolgte.

Synchronisiert OWSSRFnutzt die Technologie wahrscheinlich vereinen weiteren kritischen Fehler aus, jener qua CVE-2022-41080 (CVSS-Priorisierung: 8,8) verfolgt wird, um eine Rechteausweitung zu gelingen, gefolgt vom Notzucht von CVE-2022-41082 pro die Remotecodeausführung.

MS Exchange ProxyNotShell RCE

Es ist erwähnenswert, dass sowohl CVE-2022-41040 qua beiläufig CVE-2022-41080 aus einem Kern von serverseitiger Anforderungsfälschung (SSRF) stammen, die einem Angreifer den Zugriff gen nicht autorisierte interne Ressourcen ermöglicht, in diesem Kern den PowerShell-Remoting-Tätigkeit.

Laut CrowdStrike konnte jener Angreifer durch den erfolgreichen ersten Zugriff legitime ausführbare Plink- und AnyDesk-Dateien löschen, um den dauerhaften Zugriff aufrechtzuerhalten, sowie Schritte zum Löschen von Windows-Ereignisprotokollen gen infizierten Servern unternehmen, um die böswilligen Aktivitäten zu verbergen.

Allesamt drei Schwachstellen wurden von Microsoft im Rahmen seiner Patchday-Updates pro November 2022 behoben. Es ist jedoch unklar, ob CVE-2022-41080 neben CVE-2022-41040 und CVE-2022-41082 lebhaft qua Zero-Day ausgenutzt wurde.

Welcher Windows-Hersteller seinerseits hat CVE-2022-41080 mit einer „Exploitation More Likely“-Priorisierung versehen, welches bedeutet, dass es einem Angreifer möglich ist, Exploit-Kennung zu erstellen, jener verwendet werden könnte, um den Fehler zuverlässig zu bewaffnen.

CrowdStrike stellte ferner stramm, dass es sich um ein Proof-of-Concept (PoC)-Pythonschlange-Skript handelt entdeckt und letzte Woche vom Huntress Labs-Forscher Dray Agha durchgesickert ist, wurde unter Umständen von den Play-Ransomware-Akteuren pro den ersten Zugriff verwendet.

Dies wird durch die Tatsache belegt, dass die Darlegung des Pythonschlange-Skripts es ermöglichte, „die zusammen mit den jüngsten Play-Ransomware-Angriffen generierten Protokolle zu replizieren“.

„Organisationen sollten die Patches vom 8. November 2022 pro Exchange anwenden, um eine Auswertung zu verhindern, da die URL-Umschreibungsminderungen pro ProxyNotShell gegen selbige Exploit-Methode nicht wirksam sind“, sagten die Forscher.

Fanden Sie diesen Begleiter interessant? Folge uns gen Twitter und LinkedIn, um weitere zuzüglich Inhalte zu Vorlesung halten, die wir veröffentlichen.



[ad_2]

View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top