Quelle: microsoft.com (Englisch)
Microsoft hat Sicherheitsupdates veröffentlicht, um zwei hochgefährliche Microsoft Exchange Zero-Day-Schwachstellen zu beheben, die unter dem Namen ProxyNotShell bekannt sind und in freier Wildbahn ausgenutzt werden.
Angreifer haben die beiden Sicherheitslücken miteinander verknüpft, um chinesische Chopper-Web-Shells auf kompromittierten Servern einzusetzen, um Daten zu stehlen und sich in den Netzwerken ihrer Opfer zu bewegen mindestens seit September 2022.
Microsoft bestätigte am 30. September, dass diese Schwachstellen aktiv für Angriffe missbraucht werden, und sagte, dass es "Kenntnis von begrenzten gezielten Angriffen hat, die die beiden Schwachstellen nutzen, um in die Systeme der Benutzer einzudringen."
"Microsoft überwacht auch diese bereits eingesetzten Erkennungen auf böswillige Aktivitäten und wird die notwendigen Maßnahmen ergreifen, um die Kunden zu schützen. Wir arbeiten an einem beschleunigten Zeitplan für die Veröffentlichung eines Fixes", so das Unternehmen weiter.
Das Unternehmen veröffentlichte später Abhilfemaßnahmen, die es Verteidigern ermöglichen, eingehende ProxyNotShell-Angriffe zu blockieren, musste aber die Anleitung aktualisieren zweimal, nachdem Forscher gezeigt hatten, dass Angreifer sie immer noch umgehen können.
Admins zum Patchen gewarnt
Im Rahmen des November 2022 Patch Tuesday hat Microsoft heute endlich Sicherheitsupdates veröffentlicht, um die beiden Sicherheitslücken zu schließen.
"Da uns aktive Ausnutzungen der damit zusammenhängenden Schwachstellen bekannt sind (begrenzte gezielte Angriffe), empfehlen wir, diese Updates sofort zu installieren, um vor diesen Angriffen geschützt zu sein", warnte das Exchange-Team.
"Diese Sicherheitslücken betreffen Exchange Server. Exchange Online-Kunden sind bereits vor den in diesen SUs angesprochenen Sicherheitslücken geschützt und müssen außer der Aktualisierung aller Exchange-Server in ihrer Umgebung keine weiteren Maßnahmen ergreifen."
Die beiden als CVE-2022-41082 und CVE-2022-41040 verfolgten Sicherheitslücken betreffen Microsoft Exchange Server 2013, 2016 und 2019.
Sie ermöglichen es Angreifern, ihre Privilegien zu erweitern, um PowerShell im Kontext des Systems auszuführen und beliebige oder entfernte Codeausführung zu erlangen.
"Der Angreifer für diese Sicherheitsanfälligkeit könnte die Serverkonten in einer beliebigen oder entfernten Codeausführung angreifen", fügte Microsoft im CVE-2022-41082 Advisory hinzu.
"Als authentifizierter Benutzer könnte der Angreifer versuchen, über einen Netzwerkaufruf bösartigen Code im Kontext des Serverkontos auszulösen."
Die ProxyNotShell-Sicherheitslücken können jedoch nur von authentifizierten Bedrohungsakteuren aus der Ferne ausgenutzt werden, und zwar in Angriffen mit geringer Komplexität, die keine Benutzerinteraktion erfordern.