Los operadores de una variedad de ransomware llamada Play han desarrollado una nueva cadena de explotación para una vulnerabilidad crítica de ejecución remota de código (RCE) en Exchange Server que Microsoft parchó en noviembre.
El nuevo método pasa por alto las mitigaciones que Microsoft había proporcionado para la cadena de exploits, lo que significa que las organizaciones que solo las han implementado pero aún no han aplicado el parche deben hacerlo de inmediato.
La vulnerabilidad RCE en cuestión (CVE-2022-41082) es uno de los dos llamados Defectos de "ProxyNotShell" en Exchange Server versiones 2013, 2016 y 2019 que la empresa de seguridad vietnamita GTSC reveló públicamente en noviembre después de observar que un actor de amenazas las explotaba. La otra falla de ProxyNotShell, rastreada como CVE-2022-41040, es un error de falsificación de solicitud del lado del servidor (SSRF) que brinda a los atacantes una forma de elevar los privilegios en un sistema comprometido.
En el ataque que informó GTSC, el actor de amenazas utilizó la vulnerabilidad CVE-2022-41040 SSRF para acceder al servicio Remote PowerShell y lo usó para activar la falla RCE en los sistemas afectados. En respuesta, Microsoft recomendó que las organizaciones apliquen una regla de bloqueo para evitar que los atacantes accedan al servicio remoto de PowerShell a través del extremo de detección automática en los sistemas afectados. La empresa afirmó, y los investigadores de seguridad estuvieron de acuerdo, que la regla de bloqueo ayudaría a prevenir patrones de explotación conocidos contra las vulnerabilidades de ProxyNotShell.
Novedosa nueva cadena de exploits
Esta semana, sin embargo, investigadores en CrowdStrike dijeron que habían observado a los actores de amenazas detrás del ransomware Play usar un nuevo método para explotar CVE-2022-41082 que elude la medida de mitigación de Microsoft para ProxyNotShell.
El método implica que el atacante explote otro error de SSRF, y poco conocido, en el servidor de Exchange rastreado como CVE-2022-41080 para acceder al servicio remoto de PowerShell a través del front-end de Outlook Web Access (OWA), en lugar del extremo de detección automática. Microsoft ha asignado al error la misma calificación de gravedad (8.8) que tiene para el error SSRF en la cadena de explotación ProxyNotShell original.
CVE-2020-41080 permite a los atacantes acceder al servicio remoto de PowerShell y usarlo para explotar CVE-2022-41082 exactamente de la misma manera que cuando usan CVE-2022-41040, dijo CrowdStrike. El proveedor de seguridad describió la nueva cadena de explotación del grupo de ransomware Play como una "forma previamente no documentada de llegar al servicio de comunicación remota de PowerShell a través del punto final de interfaz OWA, en lugar de aprovechar el punto final de Autodiscover".
Debido a que la mitigación de ProxyNotShell de Microsoft solo bloquea las solicitudes realizadas al punto final de detección automática en el servidor de Microsoft Exchange, las solicitudes para acceder al servicio remoto de PowerShell a través del front-end de OWA no se bloquearán, explicó el proveedor de seguridad.
CrowdStrike ha bautizado la nueva cadena de explotación que involucra a CVE-2022-41080 y CVE-2022-41082 como "OWASSRF".
Parchear ahora o deshabilitar OWA
“Las organizaciones deben aplicar los parches del 8 de noviembre de 2022 para Exchange para evitar la explotación, ya que las mitigaciones de reescritura de URL para ProxyNotShell no son efectivas contra este método de explotación”, advirtió CrowdStrike. “Si no puede aplicar el KB5019758 parche inmediatamente, debe deshabilitar OWA hasta que se pueda aplicar el parche”.
Microsoft no respondió de inmediato a una solicitud de comentarios.
CrowdStrike dijo que descubrió la nueva cadena de exploits al investigar varias intrusiones recientes de ransomware Play donde el vector de acceso inicial era a través de una vulnerabilidad de Microsoft Exchange Server. Los investigadores descubrieron rápidamente que los atacantes del ransomware Play habían explotado la vulnerabilidad ProxyNotShell RCE (CVE-2022-41082) para soltar cargas útiles legítimas para mantener el acceso y realizar técnicas antiforenses en servidores de Microsoft Exchange comprometidos.
Sin embargo, no había señales de que hubieran usado CVE-2022-41040 como parte de la cadena de explotación. La investigación adicional de CrowdStrike mostró que los atacantes habían usado CVE-2022-41080 en su lugar.
Las recomendaciones del proveedor de seguridad a las organizaciones para reducir su exposición a la nueva amenaza incluyen deshabilitar PowerShell remoto para usuarios no administrativos cuando sea posible y usar herramientas EDR para detectar servicios web que generan procesos de PowerShell. La empresa también ha proporcionado un script que los administradores pueden usar para monitorear los servidores de Exchange en busca de signos de explotación.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/ransomware-attackers-bypass-microsoft-mitigation-proxynotshell-exploit
