Neue Zero-Day-Schwachstelle in Microsoft Exchange / Sudo Null IT News

Vergangene Woche wurde ein Cyberangriff bekannt, der eine neue Schwachstelle im Mailserver Microsoft Exchange ausnutzt. Zwei Tage danach

Veröffentlichungen

Vietnamesisches Unternehmen GTSC Microsoft Corporation

anerkannt

das Bestehen eines Problems. Tatsächlich gibt es in Exchange zwei noch nicht geschlossene Zero-Day-Schwachstellen. Die Sicherheitslücke CVE-2022-41040 gehört zur Klasse Server-Side Request Forgery und ermöglicht es einem autorisierten Benutzer, PowerShell-Befehle auf dem Server auszuführen.

Die zweite Schwachstelle, CVE-2022-41082, ermöglicht die Ausführung willkürlichen Codes beim Zugriff auf PowerShell. Dementsprechend ermöglicht Ihnen ihre Kombination die volle Kontrolle über den Mailserver. Bei einem von GTSC analysierten realen Angriff wurde eine Hintertür auf dem Server installiert, um das Unternehmensnetzwerk weiter zu analysieren und Daten zu stehlen. Der Angriff ist dem ProxyShell-Satz von Schwachstellen sehr ähnlich,

entdeckt

Frühling 2021. In diesem Fall wurde auch eine Schwachstelle vom Typ SSRF ausgenutzt, gefolgt von der Ausführung willkürlichen Codes. Aber es gibt einen wichtigen Unterschied: Der ProxyShell-Angriff hat das Autorisierungssystem vollständig umgangen. Für einen neuen Angriff müssen Sie sich zunächst Zugriff auf ein beliebiges Konto in Microsoft Exchange verschaffen.


Informationsquellen:

Kevin Beaumont, ein ehemaliger Microsoft-Mitarbeiter, der einst aktiv über das Drama um ProxyShell berichtete, schlug den Namen ProxyNotShell für eine neue Reihe von Schwachstellen vor. Ihm wird auch das oben gezeigte “Logo” zugeschrieben. Die Ähnlichkeit zu ProxyShell war so offensichtlich, dass Kevin zunächst davon ausging, dass diese Schwachstelle wieder für Angriffe ausgenutzt wird. Doch nur einen Tag später gab Microsoft bekannt, dass es sich um eine neue Reihe von Problemen im Mailserver handele – daher der neue Name.

GTSC entdeckte die Nicht-ProxyShell bereits Anfang August 2022 während einer routinemäßigen Sicherheitsanalyse des Unternehmensnetzwerks eines Kunden. Gleichzeitig wurde das Problem an Microsoft gemeldet und Daten zu zwei Schwachstellen in die Datenbank der Zero Day Initiative aufgenommen. Die beiden Lücken in Exchange werden von GTSC mit 8,8 von 10 für eine SSRF-Schwachstelle bzw. 6,3 für eine RCE durch PowerShell bewertet. Es gibt noch keinen Patch für Exchange, aber es gibt eine vorübergehende Lösung: Deaktivieren Sie Aufrufe von PowerShell vollständig, indem Sie dem Microsoft IIS-Webserver eine Regel hinzufügen:

„.*autodiscover\.json.*\@.*Powershell.*

Wie bei heißen Schwachstellen üblich, konnte die von GTSC vorgeschlagene ursprüngliche Lösung (eine Variante der Regel, die Anfragen an Powershell blockiert) leicht umgangen werden. Und die in der Microsoft-Veröffentlichung (siehe oben) vorgeschlagene Methode gilt als funktionierend. Im Gegensatz zu ProxyShell erfordert ein erfolgreicher Angriff mit ProxyNotShell, dass das Konto des Benutzers auf dem Mailserver kompromittiert wird. Wenn Sie erfolgreich Daten stehlen, um auf den Server zuzugreifen, wird es einfach genug, maximale Privilegien zu erhalten. Es ist unwahrscheinlich, dass ein neuer Angriff zu einer groß angelegten Epidemie führt, wie es bei ProxyShell der Fall war, aber es könnte ein beliebtes Werkzeug für gezielte Angriffe werden. Dies ist genau die Art von Angriff, die von GTSC-Vertretern in Vietnam beobachtet wurde. Kevin Beaumont hat übrigens im Zuge der Vorbereitung der Veröffentlichung einer neuen Schwachstelle festgestellt, dass es noch recht viele Server ohne Patch für die alte ProxyShell-Attacke gibt.

Was sonst noch passiert ist

Experten von Kaspersky Lab veröffentlicht

ausführlicher Bericht

über Schwachstellen im UMAS-Protokoll von Schneider Electric, das in den Industriegeräten des Unternehmens verwendet wird. Noch eine

Veröffentlichung

beschreibt die Aktivitäten der Prilex-Gruppe, die Geldautomaten und Zahlungsterminals in Brasilien angreift.

Ars Technica-Edition erzähltwie eine vorübergehende Übernahme der Kontrolle über die IP-Adressen von Amazon Web Services (der sogenannte BGP-Hijack-Angriff) zum Diebstahl erheblicher Gelder in Kryptowährung führte.

Matrix-Entwickler für offene Plattformen veröffentlicht Patches, die eine kritische Schwachstelle im Datenverschlüsselungsprotokoll abdecken. Die Schwachstelle ermöglichte theoretisch den Zugriff auf Daten, die Ende-zu-Ende-verschlüsselt übertragen wurden.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *