Новая уязвимость Microsoft Exchange используется для атаки на серверы

Новая уязвимость Microsoft Exchange используется для атаки на серверы и предоставления инструментов удаленного доступа и программного обеспечения для удаленного администрирования, как выяснили исследователи.

Эксперты по кибербезопасности из CrowdStrike наткнулись на новую цепочку эксплойтов при исследовании < href="https://www.techradar.com/best/best-ransomware-protection">атака программ-вымогателей. После дальнейшего анализа был сделан вывод, что цепочка эксплойтов обходит меры по устранению ошибки перезаписи URL-адреса ProxyNotShell, предоставляя злоумышленникам привилегии удаленного выполнения кода (RCE) на цели endpoints.

Они назвали эксплойт OWASSRF и объяснили, что злоумышленники использовали Remote PowerShell для злоупотребления уязвимостями, отслеживаемыми как CVE-2022-41080. и CVE-2022-41082.

Повышение привилегий на серверах Exchange

"Похоже, что соответствующие запросы были отправлены непосредственно через конечную точку веб-приложения Outlook (OWA), что указывает на неизвестный ранее метод эксплойта для Exchange", — пояснили исследователи в запись в блоге.

Когда Microsoft впервые обнаружила CVE-2022-41080, она поставила ей « критический», так как это позволяло удаленно повышать привилегии на серверах Exchange, но также добавлялось, что не было никаких доказательств того, что ошибка использовалась в дикой природе. Поэтому трудно определить, использовалась ли уязвимость как уязвимость нулевого дня, даже до того, как исправление было выпущено.

Однако исправление доступно, и все организации с локальными серверами Microsoft Exchange рекомендуется применить по крайней мере накопительное обновление за ноябрь 2022 года, чтобы оставаться в безопасности. Если они не могут применить исправление в данный момент, рекомендуется отключить OWA.

CrowdStrike считает, что злоумышленники использовали уязвимость для доставки инструментов удаленного доступа Plink и AnyDesk, а также программного обеспечения для удаленного администрирования ConnectWise.