Новая уязвимость Microsoft Exchange используется для атаки на серверы
21 декабря 2022 г.Новая уязвимость Microsoft Exchange используется для атаки на серверы и предоставления инструментов удаленного доступа и программного обеспечения для удаленного администрирования, как выяснили исследователи.
Эксперты по кибербезопасности из CrowdStrike наткнулись на новую цепочку эксплойтов при исследовании < href="https://www.techradar.com/best/best-ransomware-protection">атака программ-вымогателей. После дальнейшего анализа был сделан вывод, что цепочка эксплойтов обходит меры по устранению ошибки перезаписи URL-адреса ProxyNotShell, предоставляя злоумышленникам привилегии удаленного выполнения кода (RCE) на цели endpoints.
Они назвали эксплойт OWASSRF и объяснили, что злоумышленники использовали Remote PowerShell для злоупотребления уязвимостями, отслеживаемыми как CVE-2022-41080. и CVE-2022-41082.
Повышение привилегий на серверах Exchange
"Похоже, что соответствующие запросы были отправлены непосредственно через конечную точку веб-приложения Outlook (OWA), что указывает на неизвестный ранее метод эксплойта для Exchange", — пояснили исследователи в запись в блоге.
Когда Microsoft впервые обнаружила CVE-2022-41080, она поставила ей « критический», так как это позволяло удаленно повышать привилегии на серверах Exchange, но также добавлялось, что не было никаких доказательств того, что ошибка использовалась в дикой природе. Поэтому трудно определить, использовалась ли уязвимость как уязвимость нулевого дня, даже до того, как исправление было выпущено.
Однако исправление доступно, и все организации с локальными серверами Microsoft Exchange рекомендуется применить по крайней мере накопительное обновление за ноябрь 2022 года, чтобы оставаться в безопасности. Если они не могут применить исправление в данный момент, рекомендуется отключить OWA.
CrowdStrike считает, что злоумышленники использовали уязвимость для доставки инструментов удаленного доступа Plink и AnyDesk, а также программного обеспечения для удаленного администрирования ConnectWise.
Серверы Microsoft Exchange являются популярной мишенью для киберпреступников, но компания хорошо знает об этом факте и внедряет различные решения, чтобы защитить своих клиентов. Среди прочего, в начале января 2023 года было объявлено о полном отключении базовой проверки подлинности Exchange Online.
"Начиная с начала января мы будем отправлять сообщения Центра сообщений затронутым арендаторам примерно за 7 дней до того, как мы изменение конфигурации, чтобы навсегда отключить использование базовой аутентификации для протоколов в области действия», — говорится в сообщении компании. «Вскоре после того, как базовая аутентификация будет отключена навсегда, все клиенты или приложения, подключающиеся с использованием базовой аутентификации к одному из затронутых протоколов, получат ошибку 401 неверного имени пользователя/пароля/HTTP».
В течение многих лет Microsoft предупреждая пользователей о том, что базовая проверка подлинности Exchange Online в конечном итоге будет отменена и заменена более современным методом проверки подлинности.
- Вот лучшие брандмауэры на данный момент
Оригинал