X

Hacker nutzen Outlook Web Access, um Exchange-Server einzunehmen

Sicherheitsexperten haben aufgedeckt, wie eine Ransomware-Bande eine Microsoft Exchange-Sicherheitslücke zum Einbruch in Server ausnutzt. Dabei werden verschiedene Sicherheitsmechanismen außer Kraft gesetzt - doch es gibt schon Patches, die das verhindern.
23.12.2022  17:15 Uhr
Die Cyberkriminellen arbeiten mit einer neuen Ransomware namens Play, die erst seit Sommer dieses Jahres bekannt ist. Sie verwenden für ihre Angriffe eine neue Exploit-Kette, um Remotecodeausführung auf anfälligen Servern über Outlook Web Access (OWA) zu erlangen. Das meldet das Online-Magazin Bleeping Computer. Entdeckt hatte das Cybersecurity-Unternehmen CrowdStrike den Exploit namens OWASSRF. Kompromittierte Microsoft Exchange-Server werden dabei verwendet, um in die Netzwerke der Opfer einzudringen.


Remote PowerShell ausgenutzt

Um dann beliebige Befehle auf den kompromittierten Servern auszuführen, nutzt die Ransomware-Bande Remote PowerShell. Dabei machen sich die Kriminellen die Schwachstelle CVE-2022-41082 zunutze und umgehen die bisher erfolgten Exchange ProxyNotShell-Mitigationsmaßnahmen zur Absicherung.

Bei der Analyse der Angriffe zeigte sich, dass die entsprechenden Anfragen direkt über den Outlook Web Application (OWA)-Endpunkt erfolgten, was auf eine bisher nicht bekannte Exploit-Methode für Exchange hindeutet, erklärten die Sicherheitsforscher. Einer der Forscher, die den Fehler gefunden haben, sagte, dass er als Teil einer "Kette ausgenutzt werden kann, um Exchange on-premises, Exchange Online, Skype for Business Server für Remotecodeausführung zu nutzen".

Derzeit ist unklar, ob die Bedrohungsakteure die Exchange-Angriffskette als Zero-Day-Exploit missbraucht haben, also bevor Microsoft Korrekturen veröffentlichen konnte. Unternehmen mit lokalen Microsoft Exchange-Servern in ihrem Netzwerk wird empfohlen, die neuesten Exchange-Sicherheitsupdates (mit November 2022 als Mindest-Patchlevel) anzuwenden oder OWA zu deaktivieren, bis der Patch CVE-2022-41080 angewendet werden kann.

☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture