{"id":276200,"date":"2022-12-21T09:45:31","date_gmt":"2022-12-21T08:45:31","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276200"},"modified":"2022-12-22T01:38:31","modified_gmt":"2022-12-22T00:38:31","slug":"microsoft-exchange-neue-owassrf-exploit-methode-proxynotshel-durch-play-ransomware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/12\/21\/microsoft-exchange-neue-owassrf-exploit-methode-proxynotshel-durch-play-ransomware\/","title":{"rendered":"Microsoft Exchange: Neue OWASSRF-Exploit-Methode (ProxyNotShell) durch Play-Ransomware"},"content":{"rendered":"

\"Exchange[English<\/a>]Sicherheitsforscher von CrowdStrike sind bei der Analyse von mehreren Play-Ransomware-F\u00e4llen auf eine neue Expolit-Methode f\u00fcr die NotProxyShell-Schwachstellen CVE-2022-41080 und CVE-2022-41082 gesto\u00dfen. Die Ransomware verwendet eine neue Exploit-Methode, um die URL-Rewrite-Regeln von Microsoft (als Reaktion auf ProxyNotShel) f\u00fcr Autodiscover umgeht. Der Exploit erm\u00f6glicht eine Remotecodeausf\u00fchrung (RCE) \u00fcber Outlook Web Access (OWA) und dient dann f\u00fcr die Infektion anf\u00e4lliger Exchange-Server. Die neue Exploit-Methode wird als OWASSRF bezeichnet. Erg\u00e4nzung:<\/strong> In zwischen hat auch das CERT-EU reagiert.<\/p>\n

<\/p>\n

\"\"Passt mal wieder, kurz vor den Feiertagen muss eine Warnung an Exchange-Administratoren raus, die ihre On-Premises-Systeme nicht auf dem neuen Patchstand haben und deren Systeme per Internet erreichbar sind. Ende September 2022 wurde eine neue 0-Day-Exploit-Methode (ProxyNotShell) f\u00fcr On-Premises Exchange Server gefunden, f\u00fcr die Microsoft im Oktober 2022 gleich mehrere URL-Rewrite-Regeln als vorl\u00e4ufigen Schutz ver\u00f6ffentlichte (siehe Microsofts Empfehlungen f\u00fcr die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333<\/a>\u00a0 und die restlichen Artikel am Beitragsende). Microsoft hat dann im November 2022 ein Sicherheitsupdate ver\u00f6ffentlicht (siehe Exchange Server Sicherheitsupdates (8. November 2022)<\/a>).<\/p>\n

Neue Exploit-Methode gefunden<\/h2>\n

Bei der Untersuchung mehrerer Play-Ransomware-F\u00e4lle ist Sicherheitsforschern von CrowdStrike aufgefallen, dass die Eindringlinge vermutlich die Microsoft Exchange ProxyNotShell-Schwachstellen CVE-2022-41040 und CVE-2022-41082 als gemeinsamen Eintrittsvektor nutzen. In jedem dieser F\u00e4lle wurden die entsprechenden Protokolle \u00fcberpr\u00fcft, aber es lie\u00dfen sich keine Beweise f\u00fcr die Ausnutzung von CVE-2022-41040 f\u00fcr den ersten Zugriff finden. Stattdessen wurde festgestellt, dass die entsprechenden Anfragen direkt \u00fcber den Endpunkt der Outlook-Webanwendung (OWA) gestellt wurden. Das deutete auf eine bisher unbekannte Methode zur Ausnutzung von Exchange hin.<\/p>\n

<\/a><\/p>\n

Die Sicherheitsforscher gehen daher davon aus, eine neue Exploit-Methode (genannt OWASSRF) entdeckt zu haben. Diese kombiniert die Schwachstellen CVE-2022-41080 und CVE-2022-41082, um Remotecodeausf\u00fchrung (RCE) \u00fcber Outlook Web Access (OWA) zu erreichen. Die neue Exploit-Methode umgeht URL-Rewrite-Abwehrma\u00dfnahmen f\u00fcr den Autodiscover-Endpunkt, die von Microsoft als Reaktion auf ProxyNotShell bereitgestellt wurden. Details haben die Crowdtrike-Sicherheitsforscher hier ver\u00f6ffentlicht<\/a>.<\/p>\n

W\u00e4hrend die Sicherheitsforscher von CrowdStrike an der Entwicklung ihres eigenen Proof-of-Concept-Codes (PoC) arbeiteten, um die bei der Untersuchung der j\u00fcngsten Play-Ransomware-Angriffe gefundenen Protokolldaten abzugleichen, entdeckte Dray Agha, Bedrohungsforscher bei Huntress Labs, am 14. Dezember 2022 das Tooling eines Bedrohungsakteurs und ver\u00f6ffentlichte es online. Das berichten die Kollegen von Bleeping Computer hier<\/a>.\u00a0 Das geleakte Tooling enthielt einen PoC f\u00fcr den Exchange-Exploit von Play, der es CrowdStrike erm\u00f6glichte, die bei den Angriffen der Play-Ransomware protokollierten b\u00f6sartigen Aktivit\u00e4ten zu replizieren.<\/p>\n

Die Sicherheitsforscher von CrowdStrike gehen davon aus, dass der Proof-of-Concept-Exploit genutzt wurde, um Remote-Access-Tools wie Plink und AnyDesk auf kompromittierten Servern abzulegen. Seit Sommer gibt es verschiedene Play-Ransomware-Vorf\u00e4lle (z.B. Stadt Antwerpen, siehe Cyberangriff auf Antwerpen (Belgien)<\/a>, H-Hotels in Deutschland , siehe Cyberangriff auf H-Hotels.com (11. Dez. 2022)<\/a> etc.). Aktuell gehe ich davon aus, dass ein vollst\u00e4ndig gepatchter Exchange Server nicht f\u00fcr diese Angriffsmethode bzw. den Exploit anf\u00e4llig ist. OWA sollte aber auf jeden Fall nicht per Internet erreichbar sein.
\n\"CERT-EU<\/a><\/p>\n

Erg\u00e4nzung:<\/strong> In zwischen hat auch das CERT-EU reagiert und den neuen 0-Day in seine Liste<\/a> aufgenommen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nExchange Server werden \u00fcber 0-day Exploit angegriffen (29. Sept. 2022)<\/a>
\nExchange Server: Neue 0-day (nicht NotProxyShell, CVE-2022-41040, CVE-2022-41082)<\/a>
\nMicrosofts Empfehlungen f\u00fcr die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333<\/a>
\nNeues zur Exchange Server 0-day-Schwachstelle ZDI-CAN-18333: Korrekturen, Scripte und EMS-L\u00f6sung<\/a>
\nExchange Server: Microsofts 0-day-Schutz aushebelbar, neue Einsch\u00e4tzungen (3. Oktober 2022)<\/a>
\nExchange Server: Microsofts bessert L\u00f6sungen f\u00fcr 0-day-Schutz nach (5. Oktober 2022)<\/a>
\nExchange Server: Microsofts bessert L\u00f6sungen f\u00fcr 0-day-Schutz nach (8. Oktober 2022)<\/a>
\nExchange Server Sicherheitsupdates (11. Oktober 2022)<\/a><\/p>\n

Ransomware-Angriff f\u00fcr Ausfall der Rackspace-Exchange-Instanzen im Dez. 2022 verantwortlich<\/a>
\n\u00c4rger: Schweizer NCSC informiert Kunden \u00fcber unsicherere Exchange Server (Dez. 2022)<\/a><\/p>\n

Exchange 2016\/2019: Outlook-Probleme durch AMSI-Integration<\/a>
\nExchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service<\/a>
\nExchange: Extended Protection, Checkliste und Probleme<\/a>
\nUpdate f\u00fcr Exchange Extended Protection-Script, aber weiterhin Fehler<\/a>
\nExchange Health Checker \u2013 Script-Erweiterungen von Frank Z\u00f6chling<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher von CrowdStrike sind bei der Analyse von mehreren Play-Ransomware-F\u00e4llen auf eine neue Expolit-Methode f\u00fcr die NotProxyShell-Schwachstellen CVE-2022-41080 und CVE-2022-41082 gesto\u00dfen. Die Ransomware verwendet eine neue Exploit-Methode, um die URL-Rewrite-Regeln von Microsoft (als Reaktion auf ProxyNotShel) f\u00fcr Autodiscover umgeht. Der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[5359],"class_list":["post-276200","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-exchange"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276200","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=276200"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276200\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=276200"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=276200"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=276200"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}