Hotaktörer med sikte på Microsoft Exchange-servrar kringgår och utnyttjar känd sårbarhet i Microsoft ProxyNotShell. IT-Total uppmanar att omgående genomföra mitigeringsåtgärder.
Den nya angreppsmetoden har fått namnet ”OWASSRF” (Outlook Web Access Server-Side Request Forgery) och kan ta sig förbi de tidigare patchar och åtgärder Microsoft rekommenderade för de kritiska sårbarheterna CVE-2022-41080 och CVE-2022-41082.
Genom att höja sina rättigheter via CVE-2022-41080 kan angriparen sedan få tillgång till en Exchange-server för att gå vidare. Utnyttjande blir till en kedjereaktion och väl inne kan angriparen fjärrexekvera kod med PowerShell via CVE-2022-41082 (ProxyNotShell) för att sprida ransomware.
OWASSRF kan nyttjas för att komma förbi tidigare rekommenderade åtgärder för mitigering, men de som har uppdaterat Exchange med KB5019758 är skyddade. Har man således enbart infört åtgärder och inte patchat, är systemet sårbart.
IT-Total rekommenderar:
- Applicera Microsofts patchar (KB5019758) från november -22 snarast för att mitigera ProxyNotShell och andra utnyttjade sårbarheter. Om detta inte är möjligt bör Outlook Web Access tillfällligt inaktiveras.
- Stärk ert klientskydd med ett avancerat endpoint detection and response-skydd (EDR) för att kunna detektera processer som startar PowerShell eller command line.
- Införskaffa en web application firewall (WAF) eller intrångsskydd (IPS) med SSL-dekryptering för att säkra era system på applikationsnivå.
- Inaktivera fjärrstyrning av PowerShell för användare utan högre rättigheter om möjligt.
Endast organisationer med en lokal installation av Microsoft Exchange är påverkade.
Källor:
https://cert.se/2022/09/ny-attackmetod-i-microsoft-exchange
IT-Total kan stärka ert cyberskydd med tjänster för t.ex. EDR/IPS och övervakning (SOC).
