Ransomware-Hacker verwenden eine neue Methode, um MS Exchange ProxyNotShell-Mitigationen zu umgehen
![MS Exchange ProxyNotShell RCE](https://fragmichma.de/wp-content/uploads/2022/12/Ransomware-Hacker-verwenden-eine-neue-Methode-um-MS-Exchange-ProxyNotShell-Mitigationen-zu.png)
[ad_1]
21. Monat der Wintersonnenwende 2022Ravie LakshmananElektronische Post-Sicherheit / Datensicherheit
![MS Exchange ProxyNotShell RCE MS Exchange ProxyNotShell RCE](https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEhTLGmaNN3OFFmSILTclxE-UymYSclEFgrwvp76liyrsFGtPk5wpNGVl-AXdppW10UvY5aPmtLoqkxVC3ifpEx9XH3JarmYqPPQtscOXnAMl0K3lHF2nV6pcyicT2bu5U9BbJFd6hbBBVHswmATwzgzQEMc6GEUPcs4-k1yW0cjoEdfsN0LDRvVh5Ty/s728-e1000/email-hacking.png)
Bedrohungsakteure, die mit einem Ransomware-Stamm namens Play in Verkettung stillstehen, nutzen eine nie zuvor gesehene Exploit-Kettenfäden, die Blockierungsregeln pro ProxyNotShell-Fehler in Microsoft Exchange Server umgeht, um Remote Kennung Execution (RCE) darüber hinaus Outlook Web Access (OWA) zu gelingen.
„Die neue Exploit-Methode umgeht URL-Rewrite-Minderungen pro den Autodiscover-Endpunkt“, sagten die CrowdStrike-Forscher Brian Pitchford, Erik Iker und Nicolas Zilio in einem am zweiter Tag der Woche veröffentlichten technischen Berichterstattung.
Play-Ransomware, die erstmals im Rosenmonat 2022 auftauchte, hat sich qua Übernehmen vieler Taktiken anderer Ransomware-Familien wie Hive und Nokoyawa erwiesen, von denen letztere im September 2022 gen Rust aktualisiert wurden.
![Internet-Sicherheit](https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEiFnQCqFUEdZwz09FePR3hG7AgLONIkxkHQShYlYG9sMAfmFEby7X_H70pQ-9LE4EGZ23DtteXmqkaRJtbEWD3LgdJDEQS_GzBo6ugwqRwVEo_kbRN9E1kruaJrfiBDjY0e2mRjaHuWU1gkUzsLRVbvt0IMXMhc3P1YIy9M0fvNOrWDRwsyC7dkMcnC1A/s728-e100/welcome-728.png)
Die Untersuchungen des Cybersicherheitsunternehmens zu mehreren Play-Ransomware-Eindringlingen ergaben, dass jener anfängliche Zugriff gen die Zielumgebungen nicht durch die direkte Auswertung von CVE-2022-41040, sondern darüber hinaus den OWA-Endpunkt erfolgte.
Synchronisiert OWSSRFnutzt die Technologie wahrscheinlich vereinen weiteren kritischen Fehler aus, jener qua CVE-2022-41080 (CVSS-Priorisierung: 8,8) verfolgt wird, um eine Rechteausweitung zu gelingen, gefolgt vom Notzucht von CVE-2022-41082 pro die Remotecodeausführung.
![MS Exchange ProxyNotShell RCE MS Exchange ProxyNotShell RCE](https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEh59pwm9Kxv252Uv99amN02oXTHDo8okfVqDQEPqxZy2wZk0tCTHx16xDzABz2QYvABQfBENatlbN2owTSezPh4jYOK-0bGPr_JyWKUPsX1nnLeX5X9za6Rfk5c-juoJI5Q9NT97ANp9X64VSnb_EWUp5s1jYoZJap_uzgruqlI0kYKYqqtMvM5hZQm/s728-e1000/email-security.png)
Es ist erwähnenswert, dass sowohl CVE-2022-41040 qua beiläufig CVE-2022-41080 aus einem Kern von serverseitiger Anforderungsfälschung (SSRF) stammen, die einem Angreifer den Zugriff gen nicht autorisierte interne Ressourcen ermöglicht, in diesem Kern den PowerShell-Remoting-Tätigkeit.
Laut CrowdStrike konnte jener Angreifer durch den erfolgreichen ersten Zugriff legitime ausführbare Plink- und AnyDesk-Dateien löschen, um den dauerhaften Zugriff aufrechtzuerhalten, sowie Schritte zum Löschen von Windows-Ereignisprotokollen gen infizierten Servern unternehmen, um die böswilligen Aktivitäten zu verbergen.
Allesamt drei Schwachstellen wurden von Microsoft im Rahmen seiner Patchday-Updates pro November 2022 behoben. Es ist jedoch unklar, ob CVE-2022-41080 neben CVE-2022-41040 und CVE-2022-41082 lebhaft qua Zero-Day ausgenutzt wurde.
Welcher Windows-Hersteller seinerseits hat CVE-2022-41080 mit einer „Exploitation More Likely“-Priorisierung versehen, welches bedeutet, dass es einem Angreifer möglich ist, Exploit-Kennung zu erstellen, jener verwendet werden könnte, um den Fehler zuverlässig zu bewaffnen.
CrowdStrike stellte ferner stramm, dass es sich um ein Proof-of-Concept (PoC)-Pythonschlange-Skript handelt entdeckt und letzte Woche vom Huntress Labs-Forscher Dray Agha durchgesickert ist, wurde unter Umständen von den Play-Ransomware-Akteuren pro den ersten Zugriff verwendet.
Dies wird durch die Tatsache belegt, dass die Darlegung des Pythonschlange-Skripts es ermöglichte, „die zusammen mit den jüngsten Play-Ransomware-Angriffen generierten Protokolle zu replizieren“.
„Organisationen sollten die Patches vom 8. November 2022 pro Exchange anwenden, um eine Auswertung zu verhindern, da die URL-Umschreibungsminderungen pro ProxyNotShell gegen selbige Exploit-Methode nicht wirksam sind“, sagten die Forscher.
[ad_2]