Erkennung des OWASSRF-Exploits: Neue Exploit-Methode missbraucht Exchange-Server zur Umgehung von ProxyNotShell (CVE-2022-41040 und CVE-2022-41082) Schutzmaßnahmen und Erlangung von RCE
Inhaltsverzeichnis:
Am 20. Dezember 2022 entdeckten Cybersicherheitsforscher eine neuartige Exploit-Methode namens OWASSRF, die die Schwachstellen CVE-2022-41080 und CVE-2022-41082 kombiniert, um über eine Privilegienerhöhung per Outlook Web Access (OWA) eine Remote-Code-Ausführung (RCE) zu erlangen. OWASSRF ist in der Lage, ProxyNotShell Schutzmaßnahmen zu umgehen. Cyber-Verteidiger betonen, dass diese fortlaufenden Angriffe eine Bedrohung für eine wachsende Zahl von Microsoft Exchange Servern darstellen.
Erkennung von OWASSRF-Ausnutzungsversuchen
Microsoft Exchange Zero-Day-Schwachstellen, bekannt als ProxyNotShell , werden seit September 2022 aktiv in freier Wildbahn ausgenutzt, was Cyber-Verteidiger weltweit dazu zwingt, wachsam über ihre potenziellen Auswirkungen zu bleiben. Mit der Entdeckung einer neuen Exploit-Methode namens OWASSRF, die die Schwachstellen CVE-2022-41080 und CVE-2022-41082 kombiniert und die Microsoft-Schutzmaßnahmen für ProxyNotShell umgeht, müssen Verteidiger sich auf eine neue Bedrohung einstellen.
Um globalen Organisationen zu helfen, potenzielle Kompromittierungen ihrer Microsoft Exchange Server rechtzeitig zu identifizieren, kuratiert die SOC Prime Plattform eine Liste von speziellen Sigma-Regeln. Diese von SOC Prime Team und unserem Threat Bounty-Content-Mitwirkenden Nasreddine Bencherchalientwickelten Erkennungsalgorithmen können in führenden SIEM-, EDR-, XDR- und Datenanalyselösungen angewendet werden. Alle Sigma-Regeln sind mit MITRE ATT&CK® ausgerichtet und behandeln die Taktik des Initialzugriffs mit der Technik zur Ausnutzung öffentlicher Anwendungen (T1190) als Hauptverfahren.
Beteiligen Sie sich an der Entwicklung von Inhalten durch Crowdsourcing über das Threat Bounty Program , um der globalen Cyber-Verteidiger-Community zu helfen, Angreifer in Schach zu halten. Schreiben Sie Ihre eigenen Sigma-Regeln, die mit ATT&CK markiert sind, veröffentlichen Sie sie auf der SOC Prime Plattform und verdienen Sie sowohl Geld als auch Anerkennung von Ihren Branchenkollegen.
Klicken Sie auf die Schaltfläche Erkennungen durchsuchen , um die vollständige Sammlung neu veröffentlichter Sigma-Regeln zur Erkennung von OWASSRF-Ausnutzungsversuchen zu erreichen. Suchen Sie nach Metadaten? Erkunden Sie den relevanten Cyber-Bedrohungskontext, einschließlich ATT&CK- und CTI-Links, ausführbarer Binärdateien, Schutzmaßnahmen, und gehen Sie für weitere Details tiefer.
OWASSRF-Analyse: Neuartige Exploit-Kette zur Kompromittierung von Exchange-Servern für Remote Code-Ausführung
Ein großes Kopfzerbrechen für Sicherheitsexperten während der Feiertage wurde von CrowdStrike-Forschern aufgedeckt. Die jüngste Untersuchung beschreibt eine neuartige Exploit-Methode, die es Angreifern ermöglicht, Microsoft Exchange Server für RCE zu kompromittieren. Die bösartige Technik namens OWASSRF ermöglicht es Angreifern, die von Microsoft für ProxyNotShell eingeführten URL-Umleitungsschutzmaßnahmen zu umgehen und RCE über Privilegienerhöhung per Outlook Web Access (OWA) zu erreichen.
Zunächst wurde OWASSRF während der Forschung zu Play-Ransomware-Kampagnen beobachtet. Die Angreifer verließen sich auf betroffene Exchange-Server, um in das Zielnetzwerk einzudringen. Forscher vermuteten, dass Angreifer eine typische Microsoft Exchange ProxyNotShell (CVE-2022-41040, CVE-2022-41082) ausnutzten. Allerdings zeigten die Protokolldaten keine Anzeichen dafür, dass CVE-2022-41040 für den Erstzugang ausgenutzt wurde. Stattdessen wurden die Anfragen direkt über den OWA-Endpunkt entdeckt, was eine unbekannte Exploit-Kette für Exchange offenbarte.
Die Untersuchung ergab, dass Angreifer auf eine andere Schwachstelle zurückgriffen, während sie die OWASSRF-Methode nutzten. Insbesondere nutzten Hacker die CVE-2022-41080 aus, die eine Remote-Privilegienerhöhung auf Exchange-Servern ermöglichte. Die Schwachstelle wurde Microsoft gemeldet und im November 2022 behoben. Interessanterweise wurde diese Sicherheitslücke als kritisch angesehen, jedoch zu diesem Zeitpunkt nicht in freier Wildbahn ausgenutzt.
Am 14. Dezember 2022 wurde der Proof-of-Concept (PoC)-Exploit vom Forscher Dray Agha zusammen mit einem anderen offensiven Toolkit im Internet veröffentlicht. Laut CrowdStrike entsprach dieser PoC dem Exploit, der in Play-Ransomware-Angriffen verwendet wurde, um Fernzugriffstools wie Plink und AnyDesk bereitzustellen.
Laut dem neuesten Bericht von Rapid7 beobachten Sicherheitsexperten eine steigende Zahl von Microsoft Exchange Servern, die über die OWASSRF-Exploits-Kette kompromittiert wurden, einschließlich der Softwareversionen 2013, 2016 und 2018. Rapid7-Forscher stellen fest, dass Exchange-Server, die Microsoft-Schutzmaßnahmen nutzen, betroffen sein können, während gepatchte Server scheinbar nicht anfällig sind. Um ihre Infrastruktur rechtzeitig zu schützen, werden exponierte Organisationen aufgefordert, den Patch-Dienstag-Fix von Microsoft vom 8. November 2022 anzuwenden, der CVE-2022-41082 adressiert. Falls eine sofortige Patch-Bereitstellung keine Option ist, wird empfohlen, OWA vollständig zu deaktivieren. addressing CVE-2022-41082. In case immediate patching is not an option, vendors are recommended to disable OWA completely.
Als zusätzliche Maßnahmen zur Schadensbegrenzung sollten Anbieter Microsoft-Empfehlungen befolgen, PowerShell für Benutzer ohne Administratorrechte zu deaktivieren, ihre Exchange-Server ständig auf Anzeichen von Kompromittierungen zu überwachen, Webanwendungs-Firewalls anzuwenden und beste Sicherheitspraktiken zur Wahrung der Cyberhygiene einzuführen.
Bleiben Sie den Angreifern mit proaktiven Cyber-Abwehrfähigkeiten stets einen Schritt voraus, einschließlich 700 Sigma-Regeln für vorhandene Schwachstellen. Erreichen Sie sofort 120+ Erkennungen kostenlos oder rüsten Sie sich vollständig aus mit On-Demand unter https://my.socprime.com/pricing.