Criminelen verspreiden Play-ransomware via recent verholpen Exchange-lekken
Criminelen maken gebruik van twee bekende kwetsbaarheden in Microsoft Exchange om organisaties met de Play-ransomware te infecteren. Onlangs werden de gemeente Antwerpen en Duitse hotelketen H-Hotels slachtoffer van de Play-ransomware. Hoe deze aanvallen konden plaatsvinden is niet bekendgemaakt, maar securitybedrijf Crowdstrike meldt dat verschillende recente aanvallen met de Play-ransomware via twee kwetsbaarheden in Microsoft Exchange plaatsvonden.
Het gaat om de beveiligingslekken aangeduid als CVE-2022-41080 en CVE-2022-41082. Microsoft waarschuwde eind september dat aanvallers actief misbruik van CVE-2022-41082 en nog een andere Exchange-kwetsbaarheid maakten. Om organisaties te beschermen kwam het techbedrijf met tijdelijke mitigatiemaatregelen die uit url-rewrites bestonden. Via deze url-rewrites moest misbruik van de twee beveiligingslekken worden voorkomen. Op 8 november kwam Microsoft met beveiligingsupdates om de twee kwetsbaarheden te verhelpen.
Aanvallers blijken CVE-2022-41080 en CVE-2022-41082 nu te gebruiken om Exchange-servers op afstand over te nemen. Daarbij maken ze gebruik van een nieuwe exploitmethode die de door Microsoft aanbevolen url-rewrites omzeilt, aldus Crowdstrike. Zodra de aanvallers toegang hebben installeren ze de software AnyDesk en Plink om toegang te behouden. Vervolgens worden de Windows Event Logs gewist, gegevens gestolen en ransomware uitgerold. De aanval werkt niet tegen organisaties die de beschikbare beveiligingsupdates hebben geïnstalleerd.
Wat is dit nou weer voor reactie? Waarom zeg je dit? Waar is je bron? Wat is je achterliggende motief? Er wordt duidelijk beschreven dat je niet kwetsbaar bent als je de beveiligingsupdates installeert. Dus wie doet hier nu alsof? Dat er daarvoor allerlei knullig gepruts was met URL-rewrite rules klopt.
Verder is elke software kwetsbaar als er een bekende kwetsbaarheid is waar geen patch voor is of waar de eindgebruiker de patch niet voor installeert.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.