Hacker nutzen Outlook Web Access, um Exchange-Server einzunehmen
Sicherheitsexperten haben aufgedeckt, wie eine Ransomware-Bande eine Microsoft Exchange-Sicherheitslücke zum Einbruch in Server ausnutzt. Dabei werden verschiedene Sicherheitsmechanismen außer Kraft gesetzt - doch es gibt schon Patches, die das verhindern.
Die Cyberkriminellen arbeiten mit einer neuen Ransomware namens Play, die erst seit Sommer dieses Jahres bekannt ist. Sie verwenden für ihre Angriffe eine neue Exploit-Kette, um Remotecodeausführung auf anfälligen Servern über Outlook Web Access (OWA) zu erlangen. Das meldet das Online-Magazin Bleeping Computer.
Entdeckt hatte das Cybersecurity-Unternehmen CrowdStrike den Exploit namens OWASSRF. Kompromittierte Microsoft Exchange-Server werden dabei verwendet, um in die Netzwerke der Opfer einzudringen.
Bei der Analyse der Angriffe zeigte sich, dass die entsprechenden Anfragen direkt über den Outlook Web Application (OWA)-Endpunkt erfolgten, was auf eine bisher nicht bekannte Exploit-Methode für Exchange hindeutet, erklärten die Sicherheitsforscher. Einer der Forscher, die den Fehler gefunden haben, sagte, dass er als Teil einer "Kette ausgenutzt werden kann, um Exchange on-premises, Exchange Online, Skype for Business Server für Remotecodeausführung zu nutzen".
Derzeit ist unklar, ob die Bedrohungsakteure die Exchange-Angriffskette als Zero-Day-Exploit missbraucht haben, also bevor Microsoft Korrekturen veröffentlichen konnte. Unternehmen mit lokalen Microsoft Exchange-Servern in ihrem Netzwerk wird empfohlen, die neuesten Exchange-Sicherheitsupdates (mit November 2022 als Mindest-Patchlevel) anzuwenden oder OWA zu deaktivieren, bis der Patch CVE-2022-41080 angewendet werden kann.
Download RogueKiller - Malware entfernen Download Malwarebytes Premium Siehe auch:
Entdeckt hatte das Cybersecurity-Unternehmen CrowdStrike den Exploit namens OWASSRF. Kompromittierte Microsoft Exchange-Server werden dabei verwendet, um in die Netzwerke der Opfer einzudringen.
Remote PowerShell ausgenutzt
Um dann beliebige Befehle auf den kompromittierten Servern auszuführen, nutzt die Ransomware-Bande Remote PowerShell. Dabei machen sich die Kriminellen die Schwachstelle CVE-2022-41082 zunutze und umgehen die bisher erfolgten Exchange ProxyNotShell-Mitigationsmaßnahmen zur Absicherung.Bei der Analyse der Angriffe zeigte sich, dass die entsprechenden Anfragen direkt über den Outlook Web Application (OWA)-Endpunkt erfolgten, was auf eine bisher nicht bekannte Exploit-Methode für Exchange hindeutet, erklärten die Sicherheitsforscher. Einer der Forscher, die den Fehler gefunden haben, sagte, dass er als Teil einer "Kette ausgenutzt werden kann, um Exchange on-premises, Exchange Online, Skype for Business Server für Remotecodeausführung zu nutzen".
Derzeit ist unklar, ob die Bedrohungsakteure die Exchange-Angriffskette als Zero-Day-Exploit missbraucht haben, also bevor Microsoft Korrekturen veröffentlichen konnte. Unternehmen mit lokalen Microsoft Exchange-Servern in ihrem Netzwerk wird empfohlen, die neuesten Exchange-Sicherheitsupdates (mit November 2022 als Mindest-Patchlevel) anzuwenden oder OWA zu deaktivieren, bis der Patch CVE-2022-41080 angewendet werden kann.
Download RogueKiller - Malware entfernen Download Malwarebytes Premium Siehe auch:
- Exchange-Querdenker? - Zehntausende Systeme bleiben angreifbar
- Exchange-Exploit: Microsoft untersucht, wie Hacker an den Code kamen
- Microsofts MSRC-Team stellt Notfall-Tool für Exchange bereit
- Kritik an Microsoft: Hat der Konzern Exchange-Lücke lang verheimlicht?
- Angriff auf Microsoft Exchange entwickelt sich zur globalen Krise
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Antivirus:
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon