Ny attackmetod i Microsoft Exchange
En tidigare okänd sårbarhet i Microsoft Exchange, alternativt ett nytt sätt att utnyttja en tidigare känd sårbarhet, kan göra det möjligt för en angripare att fjärrköra skadlig kod.Den nya attackmetoden har stora likheter med ProxyShell 2021. Microsoft uppger att de undersöker två rapporterade dagnollsårbarheter som fått beteckningarna CVE-2022-41040 och CVE-2022-41082.[1,2,3]
Det krävs autentiserad tillgång till en sårbar Exchange-server för att utnyttja sårbarheterna. Endast organisationer som har en lokal installation av Microsoft Exchange är påverkade.[1,3,4]
Uppdatering 2022-10-03
Microsoft har publicerat en egen analys av de två rapporterade sårbarheterna [4] samt uppdaterat sina ursprungliga rekommendationer med fler vägar att mildra dem.
Uppdatering 2022-10-05
Microsoft har uppdaterat sina rekommendationer för hur sårbarheterna kan mildras. [3]
Uppdatering 2022-12-21
Cybersäkerhetsföretaget Crowdstrike har identifierat ett nytt sätt att utnyttja sårbarheterna CVE-2022-41080 och CVE-2022-41082 i Microsoft Exchange (även kallade ”ProxyNotShell”). Denna nya angreppsmetod, som Crowdstrike kallar “OWASSRF”, kringgår de mildrande URL rewrite-åtgärder som Microsoft rekommenderar. Enligt Crowdstrike utnyttjas denna attackmetod av ransomwaregruppen Play.[5]
Se uppdaterade rekommendationer från CERT-SE nedan.
Rekommendationer (uppdaterade 2022-12-21)
CERT-SE rekommenderar att vidta de åtgärder som Crowdstrike rekommenderar. Applicera Microsoft månatliga säkerhetsuppdateringar för november där sårbarheterna rättades. Om detta inte är möjligt bör Outlook Web Access tillfällligt inaktiveras. PowerShell bör inaktiveras för icke-administratörer.
CERT-SE rekommenderar vidare att använda det skript som Crowdstrike tillhandahåller för att i loggarna identifiera tecken på att man är drabbad. [5]För att kontrollera om Outlook Web Access är öppen mot internet kan Shodan.io användas. [1]
Källor
[5] https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/