Thought Leadership
Claire Tills, Senior Research Engineer, Tenable, kommentiert jüngste Berichte, dass ein Hive-Ransomware-Ableger Microsoft Exchange Server über ProxyShell-Schwachstellen angreift.
„Angreifer nutzen weiterhin die ProxyShell-Schwachstellen aus, die erstmals vor mehr als acht Monaten bekannt wurden. Sie haben sich seit ihrer Offenlegung als zuverlässige Quelle für Angreifer erwiesen, obwohl Patches verfügbar sind. Die jüngsten Angriffe eines Ablegers der Ransomware-Gruppe Hive werden durch die Allgegenwart von Microsoft Exchange und die offensichtlichen Verzögerungen bei der Behebung dieser Monate alten Sicherheitslücken begünstigt.
Unternehmen auf der ganzen Welt und in verschiedenen Branchen nutzen Microsoft Exchange für wichtige Geschäftsfunktionen, was es zu einem idealen Ziel für Angreifer macht. Die Exploit-Kette ermöglicht es Angreifern, ihre Privilegien zu erhöhen und dann Code aus der Ferne auszuführen. Die Verfügbarkeit von Proof-of-Concept macht es ihnen leicht, diese Taktik in ihre Playbooks zu übernehmen. Da die ProxyShell-Kette von der Funktionsumgehung über die Privilegienerweiterung bis hin zur Remotecode-Ausführung reicht, reduziert sie die Anzahl der Erkundungs- und Zwischenschritte, die Angreifer benötigen, um in Zielsysteme einzudringen.“
