exchange-server

60.865 Exchange Servere er sårbare over for ProxyNotShell-angreb 

Mere end 60,000 Microsoft Exchange-servere, der er eksponeret online, er endnu ikke lappet mod CVE-2022-41082 RCE-sårbarheden (remote code execution), en af de to sikkerhedsfejl, der er målrettet mod ProxyNotShell-udnyttelser. 

Som rapporteret af  ICARE SECURITY A/S bruger Play Ransomware blandt andet disse sårbarheder og trusler som ransomware nu en ny udnyttelseskæde til at omgå ProxyNotShell URL-omskrivningsafhjælpninger og få fjernudførelse af kode på sårbare servere via Webmailen Outlook Web Access (OWA).

ProxyShell- og ProxyLogon

For at gøre tingene endnu værre afslører en simpel Shodan-søgning et betydeligt antal Exchange-servere, der er eksponeret online, med tusinder tilbage uden patch mod ProxyShell- og ProxyLogon-sårbarheder, der gjorde det til de mest udnyttede sårbarheder i 2021. 

Ifølge en nylig tweet fra sikkerhedsforskere ved Shadowserver Foundation, en nonprofitorganisation dedikeret til at forbedre internetsikkerheden, viser, at næsten 70.000 Microsoft Exchange-servere var sårbare over for ProxyNotShell-angreb i henhold til versionsoplysninger som kan ses i servernes x_owa_version header. 

Nye data, der blev offentliggjort mandag, viser imidlertid, at antallet af sårbare Exchange-servere er faldet fra 83,946 tilfælde i midten af december til 60,865 opdaget den 2. januar. 

Exchange servers vulnerable to ProxyNotShell attacksExchange-servere, der er sårbare over for ProxyNotShell-angreb

Disse to sikkerhedsfejl, der spores som CVE-2022-41082 og  CVE-2022-41040 og  samlet kendt som ProxyNotShell, påvirker Exchange Server 2013, 2016 og 2019. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082 

Hvis det udnyttes med succes, kan angribere eskalere privilegier og få vilkårlig adgang og/eller fjernudførelse af kode på kompromitterede servere. 

Microsoft udgav sikkerhedsopdateringer for at løse fejlene under november 2022 Patch tirsdag, selvom ProxyNotShell-angreb er blevet opdaget i miljøet siden mindst september 2022.

Trusselintelligensfirmaet GreyNoise har sporet løbende ProxyNotShell-udnyttelser siden 30. september og giver oplysninger om ProxyNotShell-scanningsaktivitet og en liste over IP-adresser, der er knyttet til angrebene. 

Map of Exchange servers unpatched against ProxyNotShellKort over Exchange-servere, der ikke er patchet mod ProxyNotShell

Tusinder også udsat for ProxyShell- og ProxyLogon-angreb 

For at beskytte dine Exchange-servere mod indgående angreb skal du anvende ProxyNotShell-programrettelserne udgivet af Microsoft i november

Mens virksomheden også leverede afbødende foranstaltninger, kan disse omgås af angribere, hvilket betyder, at kun fuldt patchede servere er sikre mod kompromis. 

Exchange servers exposed onlineExchange-servere eksponeret online (Shodan) 

Exchange-servere er værdifulde mål, som demonstreret af den økonomisk motiverede FIN7-cyberkriminalitetsgruppe, der har udviklet en brugerdefineret platform til automatisk angreb kendt som Checkmarks og designet til at bryde Exchange-servere

Ifølge trusselintelligensfirmaet Prodaft, der opdagede platformen, scanner den efter og udnytter forskellige Microsoft Exchange-fjernudførelse af kode- og privilegiehøjdesårbarheder, såsom CVE-2021-34473, CVE-2021-34523 og CVE-2021-31207. 

FIN7’s nye platform er allerede blevet brugt til at infiltrere 8.147 virksomheder, primært placeret i USA (16,7%), efter at have scannet over 1.8 millioner mål. 

  • Kilder som angivet herover og ICARE SECURITY A/S
  • Fotokredit: Microsoft Logo
Scroll to Top