Remote PowerShell ausgenutzt
Um dann beliebige Befehle auf den kompromittierten Servern auszuführen, nutzt die Ransomware-Bande Remote PowerShell. Dabei machen sich die Kriminellen die Schwachstelle CVE-2022-41082 zunutze und umgehen die bisher erfolgten Exchange ProxyNotShell-Mitigationsmaßnahmen zur Absicherung.Bei der Analyse der Angriffe zeigte sich, dass die entsprechenden Anfragen direkt über den Outlook Web Application (OWA)-Endpunkt erfolgten, was auf eine bisher nicht bekannte Exploit-Methode für Exchange hindeutet, erklärten die Sicherheitsforscher. Einer der Forscher, die den Fehler gefunden haben, sagte, dass er als Teil einer "Kette ausgenutzt werden kann, um Exchange on-premises, Exchange Online, Skype for Business Server für Remotecodeausführung zu nutzen".
Derzeit ist unklar, ob die Bedrohungsakteure die Exchange-Angriffskette als Zero-Day-Exploit missbraucht haben, also bevor Microsoft Korrekturen veröffentlichen konnte. Unternehmen mit lokalen Microsoft Exchange-Servern in ihrem Netzwerk wird empfohlen, die neuesten Exchange-Sicherheitsupdates (mit November 2022 als Mindest-Patchlevel) anzuwenden oder OWA zu deaktivieren, bis der Patch CVE-2022-41080 angewendet werden kann.