Ein neuer Exploit mit dem Namen ProxyNotShell nutzt die kürzlich veröffentlichte Microsoft Server-Side Request Forgery (SSRF)-Schwachstelle CVE-2022-41040 und eine zweite Schwachstelle CVE-2022-41082, die Remote Code Execution (RCE) ermöglicht, wenn PowerShell für unbekannte Angreifer verfügbar ist.
Basierend auf ProxyShell nutzt dieser neue Zero-Day-Missbrauchsfall einen verketteten Angriff, ähnlich wie beim ProxyShell-Angriff 2021, bei dem die Kombination mehrerer Schwachstellen – CVE-2021-34523, CVE-2021-34473 und CVE-2021-31207 – ausgenutzt wurde, um einem entfernten Akteur die Ausführung von beliebigem Code zu ermöglichen.
Trotz der potenziellen Schwere der Angriffe, die sie ausnutzen, stehen die ProxyShell-Schwachstellen immer noch auf der CISA-Liste der 2021 am häufigsten ausgenutzten Schwachstellen.
Treffen Sie ProxyNotShell
CVE-2022-41082 wurde am 19. September 2022 bekannt gegeben und ist ein Angriffsvektor, der auf Microsofts Exchange Server abzielt und Angriffe mit geringer Komplexität und geringen erforderlichen Privilegien ermöglicht. Wenn die betroffenen Dienste verwundbar sind, kann ein authentifizierter Angreifer den zugrunde liegenden Exchange Server durch Ausnutzung der vorhandenen Exchange PowerShell kompromittieren, was zu einer vollständigen Kompromittierung führen kann.
Mit Hilfe von CVE-2022-41040, einer weiteren Microsoft-Schwachstelle, die ebenfalls am 19. September 2022 bekannt wurde, kann ein Angreifer CVE-2022-41082 aus der Ferne auslösen, um Befehle aus der Ferne auszuführen.
Obwohl ein Benutzer die Berechtigung haben muss, auf CVE-2022-41040 zuzugreifen, was die Zugänglichkeit der Schwachstelle für Angreifer einschränken sollte, ist die erforderliche Berechtigungsstufe gering.
Zum Zeitpunkt der Erstellung dieses Artikels hat Microsoft noch keinen Patch herausgegeben, empfiehlt den Nutzern aber, eine Blockierungsregel als Schutzmaßnahme hinzuzufügen.
Beide Schwachstellen wurden während eines aktiven Angriffs auf die vietnamesische Organisation GTSC aufgedeckt, der Angreifern Zugang zu einigen ihrer Clients gewährte. Obwohl keine der beiden Schwachstellen für sich genommen besonders gefährlich ist, könnte eine Verkettung dieser Schwachstellen zu katastrophalen Einbrüchen führen.
Durch die Verkettung der Schwachstellen könnte ein Angreifer von außen E-Mails direkt vom Server einer Organisation lesen, mit CVE-2022-41040 Remote Code Execution in die Organisation eindringen und mit CVE-2022-41082 Malware in den Exchange Server der Organisation einschleusen.
Obwohl es scheint, dass Angreifer ein gewisses Maß an Authentifizierung benötigen, um den Exploit für die verketteten Schwachstellen zu aktivieren, ist der genaue Grad der erforderlichen Authentifizierung – von Microsoft als „niedrig“ eingestuft – noch nicht geklärt. Diese niedrige Authentifizierungsstufe sollte jedoch einen massiven, automatisierten Angriff auf alle Exchange-Server weltweit verhindern. Dies wird hoffentlich eine Wiederholung des ProxyShell-Debakels von 2021 verhindern.
Da dieser Angriff die MFA- oder FIDO-Token-Validierung umgeht, um sich bei Outlook Web Access anzumelden, ist eine einzige kompromittierte E-Mail-Adresse/Passwort-Kombination alles, was benötigt wird.
Entschärfung des ProxyNotShell-Angriffs
Zum Zeitpunkt der Erstellung dieses Artikels hat Microsoft noch keinen Patch herausgegeben, empfiehlt aber, dass Nutzer/innen eine Blockierungsregel als Schutzmaßnahme mit unbekannter Wirksamkeit hinzufügen.
Das Blockieren des eingehenden Datenverkehrs zu Exchange-Servern mit kritischen Asserts ist ebenfalls eine Option, allerdings nur dann praktikabel, wenn eine solche Maßnahme keine Auswirkungen auf lebenswichtige Abläufe hat und idealerweise als vorübergehende Maßnahme angesehen werden sollte, bis Microsoft einen verifizierten Patch herausgibt.
Bewertung der ProxyNotShell-Belastung
Da die derzeitigen Abhilfemaßnahmen entweder nicht wirksam sind oder den reibungslosen Betrieb beeinträchtigen können, kann eine Bewertung des Grades der ProxyNotShell-Belastung verhindern, dass potenziell störende und unnötige Präventivmaßnahmen ergriffen werden, oder Aufschluss darüber geben, welche Ressourcen präventiv auf nicht gefährdete Server migriert werden sollten.
Das Cymulate Research Lab hat eine maßgeschneiderte Bewertung für die ProxyNotShell entwickelt, mit der Unternehmen den Grad ihrer Gefährdung durch die ProxyNotShell genau einschätzen können.
Ein ProxyNotShell-Angriffsvektor wurde zu den Vorlagen für erweiterte Szenarien hinzugefügt, und wenn du ihn in deiner Umgebung ausführst, erhältst du die notwendigen Informationen, um die Gefährdung durch ProxyNotShell – oder deren Fehlen – zu überprüfen.
Bis verifizierte Patches von Microsoft zur Verfügung stehen, ist die Bewertung der ProxyNotShell-Exposition, um festzustellen, welche Server potenzielle Ziele sind, die kosteneffizienteste Methode, um genau zu ermitteln, welche Ressourcen gefährdet sind, und gezielte Präventivmaßnahmen mit maximaler Wirkung zu entwickeln.
Von Cymulate Research Labs