60.865 Exchange Servere er sårbare over for ProxyNotShell-angreb
Mere end 60,000 Microsoft Exchange-servere, der er eksponeret online, er endnu ikke lappet mod CVE-2022-41082 RCE-sårbarheden (remote code execution), en af de to sikkerhedsfejl, der er målrettet mod ProxyNotShell-udnyttelser.
Som rapporteret af ICARE SECURITY A/S bruger Play Ransomware blandt andet disse sårbarheder og trusler som ransomware nu en ny udnyttelseskæde til at omgå ProxyNotShell URL-omskrivningsafhjælpninger og få fjernudførelse af kode på sårbare servere via Webmailen Outlook Web Access (OWA).
ProxyShell- og ProxyLogon
For at gøre tingene endnu værre afslører en simpel Shodan-søgning et betydeligt antal Exchange-servere, der er eksponeret online, med tusinder tilbage uden patch mod ProxyShell- og ProxyLogon-sårbarheder, der gjorde det til de mest udnyttede sårbarheder i 2021.
Ifølge en nylig tweet fra sikkerhedsforskere ved Shadowserver Foundation, en nonprofitorganisation dedikeret til at forbedre internetsikkerheden, viser, at næsten 70.000 Microsoft Exchange-servere var sårbare over for ProxyNotShell-angreb i henhold til versionsoplysninger som kan ses i servernes x_owa_version header.
Nye data, der blev offentliggjort mandag, viser imidlertid, at antallet af sårbare Exchange-servere er faldet fra 83,946 tilfælde i midten af december til 60,865 opdaget den 2. januar.
Exchange-servere, der er sårbare over for ProxyNotShell-angreb
Disse to sikkerhedsfejl, der spores som CVE-2022-41082 og CVE-2022-41040 og samlet kendt som ProxyNotShell, påvirker Exchange Server 2013, 2016 og 2019. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
Hvis det udnyttes med succes, kan angribere eskalere privilegier og få vilkårlig adgang og/eller fjernudførelse af kode på kompromitterede servere.
Microsoft udgav sikkerhedsopdateringer for at løse fejlene under november 2022 Patch tirsdag, selvom ProxyNotShell-angreb er blevet opdaget i miljøet siden mindst september 2022.
Trusselintelligensfirmaet GreyNoise har sporet løbende ProxyNotShell-udnyttelser siden 30. september og giver oplysninger om ProxyNotShell-scanningsaktivitet og en liste over IP-adresser, der er knyttet til angrebene.
Kort over Exchange-servere, der ikke er patchet mod ProxyNotShell
Tusinder også udsat for ProxyShell- og ProxyLogon-angreb
For at beskytte dine Exchange-servere mod indgående angreb skal du anvende ProxyNotShell-programrettelserne udgivet af Microsoft i november.
Mens virksomheden også leverede afbødende foranstaltninger, kan disse omgås af angribere, hvilket betyder, at kun fuldt patchede servere er sikre mod kompromis.
Exchange-servere eksponeret online (Shodan)
Exchange-servere er værdifulde mål, som demonstreret af den økonomisk motiverede FIN7-cyberkriminalitetsgruppe, der har udviklet en brugerdefineret platform til automatisk angreb kendt som Checkmarks og designet til at bryde Exchange-servere.
Ifølge trusselintelligensfirmaet Prodaft, der opdagede platformen, scanner den efter og udnytter forskellige Microsoft Exchange-fjernudførelse af kode- og privilegiehøjdesårbarheder, såsom CVE-2021-34473, CVE-2021-34523 og CVE-2021-31207.
FIN7’s nye platform er allerede blevet brugt til at infiltrere 8.147 virksomheder, primært placeret i USA (16,7%), efter at have scannet over 1.8 millioner mål.
- Kilder som angivet herover og ICARE SECURITY A/S
- Fotokredit: Microsoft Logo
