Новая уязвимость Microsoft Exchange используется для атаки на серверы

Новая уязвимость Microsoft Exchange используется для атаки на серверы

21 декабря 2022 г.

Новая уязвимость Microsoft Exchange используется для атаки на серверы и предоставления инструментов удаленного доступа и программного обеспечения для удаленного администрирования, как выяснили исследователи.

Эксперты по кибербезопасности из CrowdStrike наткнулись на новую цепочку эксплойтов при исследовании < href="https://www.techradar.com/best/best-ransomware-protection">атака программ-вымогателей. После дальнейшего анализа был сделан вывод, что цепочка эксплойтов обходит меры по устранению ошибки перезаписи URL-адреса ProxyNotShell, предоставляя злоумышленникам привилегии удаленного выполнения кода (RCE) на цели endpoints.

Они назвали эксплойт OWASSRF и объяснили, что злоумышленники использовали Remote PowerShell для злоупотребления уязвимостями, отслеживаемыми как CVE-2022-41080. и CVE-2022-41082.

Повышение привилегий на серверах Exchange

"Похоже, что соответствующие запросы были отправлены непосредственно через конечную точку веб-приложения Outlook (OWA), что указывает на неизвестный ранее метод эксплойта для Exchange", — пояснили исследователи в запись в блоге.

Когда Microsoft впервые обнаружила CVE-2022-41080, она поставила ей « критический», так как это позволяло удаленно повышать привилегии на серверах Exchange, но также добавлялось, что не было никаких доказательств того, что ошибка использовалась в дикой природе. Поэтому трудно определить, использовалась ли уязвимость как уязвимость нулевого дня, даже до того, как исправление было выпущено.

Однако исправление доступно, и все организации с локальными серверами Microsoft Exchange рекомендуется применить по крайней мере накопительное обновление за ноябрь 2022 года, чтобы оставаться в безопасности. Если они не могут применить исправление в данный момент, рекомендуется отключить OWA.

CrowdStrike считает, что злоумышленники использовали уязвимость для доставки инструментов удаленного доступа Plink и AnyDesk, а также программного обеспечения для удаленного администрирования ConnectWise.

Серверы Microsoft Exchange являются популярной мишенью для киберпреступников, но компания хорошо знает об этом факте и внедряет различные решения, чтобы защитить своих клиентов. Среди прочего, в начале января 2023 года было объявлено о полном отключении базовой проверки подлинности Exchange Online. 

"Начиная с начала января мы будем отправлять сообщения Центра сообщений затронутым арендаторам примерно за 7 дней до того, как мы изменение конфигурации, чтобы навсегда отключить использование базовой аутентификации для протоколов в области действия», — говорится в сообщении компании. «Вскоре после того, как базовая аутентификация будет отключена навсегда, все клиенты или приложения, подключающиеся с использованием базовой аутентификации к одному из затронутых протоколов, получат ошибку 401 неверного имени пользователя/пароля/HTTP».

В течение многих лет Microsoft предупреждая пользователей о том, что базовая проверка подлинности Exchange Online в конечном итоге будет отменена и заменена более современным методом проверки подлинности.


Оригинал