Beveiligingsonderzoekers hebben een nieuwe exploit gevonden waarmee aanvallers op afstand code kunnen uitvoeren via Outlook Web Access (OWA) op Microsoft Exchange Server.
Het beveiligingsbedrijf Crowdstrike zei dat de nieuwe exploitmethode twee kwetsbaarheden gebruikt en de URL of link rewrite mitigations omzeilt voor de ProxyNotShell bug die Microsoft leverde en die on-premises Exchange servers beïnvloeden. De ProxyNotShell gebreken zijn:
CVE-2022-41040 – Microsoft Exchange Server Elevation of Privilege kwetsbaarheid.
CVE-2022-41082 – Microsoft Exchange Server Remote Code Execution Vulnerability.
Ze zijn van invloed op Exchange Server 2013, 2016 en 2019, een geauthenticeerde aanvaller kan deze activeren om privileges te verhogen om PowerShell uit te voeren in de context van het systeem en arbitraire of remote code-uitvoering te verkrijgen op kwetsbare servers.
Crowdstrike ontdekte de ProxyNotShell-omzeiling toen het bedrijf Play ransomware-intrusies onderzocht, met als gemeenschappelijke toegangsvector Microsoft Exchange.
Exchange Server is een veel voorkomend doelwit voor hackers, met verschillende exploit en aanvallen die recentelijk zijn geregistreerd. Admins die hun Exchange-servers niet onmiddellijk kunnen patchen, moeten OWA zo snel mogelijk uitschakelen en de aanbevelingen van Microsoft opvolgen om remote PowerShell voor gewone gebruikers waar mogelijk uit te schakelen.
Lees meer op https://www.bleepingcomputer.com/news/security/ransomware-gang-uses-new-microsoft-exchange-exploit-to-breach-servers/
