Microsoft hat Sicherheitsupdates veröffentlicht, um zwei hochgradig gefährliche Microsoft Exchange Zero-Day-Schwachstellen zu beheben, die unter dem Namen ProxyNotShell bekannt sind und in freier Wildbahn ausgenutzt werden.
Angreifer haben die beiden Sicherheitslücken mindestens seit September 2022 ausgenutzt, um chinesische Chopper-Web-Shells auf kompromittierten Servern zu installieren und Daten zu stehlen sowie sich in den Netzwerken ihrer Opfer zu bewegen.
Microsoft bestätigte am 30. September, dass diese Schwachstellen aktiv für Angriffe missbraucht werden, und teilte mit, dass es “Kenntnis von begrenzten gezielten Angriffen hat, bei denen die beiden Schwachstellen genutzt werden, um in die Systeme der Benutzer einzudringen.”
“Microsoft überwacht auch diese bereits entdeckten Schwachstellen auf böswillige Aktivitäten und wird die notwendigen Maßnahmen ergreifen, um Kunden zu schützen. Wir arbeiten an einem beschleunigten Zeitplan für die Veröffentlichung eines Fixes”, so das Unternehmen weiter.
Später veröffentlichte das Unternehmen Abhilfemaßnahmen, die es Verteidigern ermöglichen, eingehende ProxyNotShell-Angriffe zu blockieren, musste aber die Anleitung zweimal aktualisieren, nachdem Forscher gezeigt hatten, dass Angreifer sie immer noch umgehen können.
Admins zum Patchen aufgefordert
Im Rahmen des November 2022 Patch Tuesday hat Microsoft heute endlich Sicherheitsupdates veröffentlicht, um die beiden Sicherheitslücken zu schließen.
Because we are aware of active exploits of related vulnerabilities (limited targeted attacks), our recommendation is to install these updates immediately to be protected against these attacks, the Exchange Team warned.
“Diese Sicherheitslücken betreffen Exchange Server. Exchange Online-Kunden sind bereits vor den in diesen SUs angesprochenen Schwachstellen geschützt. Daher müssen sie keine weiteren Maßnahmen ergreifen
Die beiden Sicherheitslücken mit den Bezeichnungen CVE-2022-41082 und CVE-2022-41040 betreffen Microsoft Exchange Server 2013, 2016 und 2019.
Sie ermöglichen es Angreifern, ihre Privilegien zu erweitern, um PowerShell im Kontext des Systems auszuführen und beliebige oder entfernte Codeausführung zu erlangen.
“Der Angreifer für diese Sicherheitsanfälligkeit könnte die Serverkonten in einer beliebigen oder entfernten Codeausführung angreifen”, fügte Microsoft im CVE-2022-41082 Advisory hinzu.
“Als authentifizierter Benutzer könnte der Angreifer versuchen, über einen Netzwerkaufruf bösartigen Code im Kontext des Serverkontos auszulösen.”
Die ProxyNotShell-Sicherheitslücken können jedoch nur von authentifizierten Bedrohungsakteuren aus der Ferne ausgenutzt werden, und zwar in Angriffen mit geringer Komplexität, die keine Benutzerinteraktion erfordern.
