Los atacantes del ransomware Play están utilizando una nueva cadena de exploits que elude las mitigaciones de reescritura de URL de ProxyNotShell para conseguir la ejecución remota de código (RCE) en servidores vulnerables a través de Outlook Web Access (OWA). La empresa de ciberseguridad CrowdStrike descubrió el exploit (denominado OWASSRF) mientras investigaba ataques de ransomware Play en los que se utilizaban servidores Microsoft Exchange comprometidos para infiltrarse en las redes de las víctimas. |
Para ejecutar comandos arbitrarios en los servidores comprometidos, los operadores del ransomware aprovecharon Remote PowerShell para abusar del CVE-2022-41082, el mismo fallo explotado por ProxyNotShell.
"En cada caso, CrowdStrike revisó los registros relevantes y determinó que no había evidencia de explotación de CVE-2022-41040 para el acceso inicial", dijeron los investigadores.
"En cambio, parecía que las solicitudes correspondientes se realizaban directamente a través del punto final de Outlook Web Application (OWA), lo que indica un método de explotación no revelado anteriormente para Exchange".
Mientras que los exploits ProxyNotShell se dirigen a CVE-2022-41040, CrowdStrike encontró que la falla abusada por el exploit recién descubierto es probablemente CVE-2022-41080, una falla de seguridad que Microsoft etiquetó como crítica y no explotada en la red que permite la escalada remota de privilegios en los servidores Exchange.
CVE-2022-41080 fue descubierto y reportado por zcgonvh con 360 noah lab y rskvp93, Q5Ca, y nxhoang99 con VcsLab de Viettel Cyber Security.
Uno de los investigadores que encontró el fallo dijo que puede ser explotado como parte de una "cadena para RCE Exchange on-premises, Exchange Online, Skype for Business Server.
En este momento no está claro si los atacantes estaban abusando de esta cadena de ataque a Microsoft Exchange como un exploit de día cero antes de que se publicaran las correcciones.
Se filtra en Internet el exploit PoC de OWASSRF
Mientras los investigadores de seguridad de CrowdStrike trabajaban en el desarrollo de su propio código de prueba de concepto (PoC) para que coincidiera con la información de registro encontrada al investigar los recientes ataques del ransomware Play, el investigador de amenazas de Huntress Labs, Dray Agha, encontró y compartió en Internet las herramientas de un atacante el 14 de diciembre.
Las herramientas filtradas contenían un PoC para el exploit Exchange de Play, que permitió a CrowdStrike replicar la actividad maliciosa registrada en los ataques del ransomware Play.
CrowdStrike cree que el exploit de prueba de concepto se utilizó para colocar herramientas de acceso remoto como Plink y AnyDesk en servidores comprometidos.
BleepingComputer también descubrió que las herramientas filtradas por Agha contenían el software de administración remota ConnectWise, que probablemente también se utilizó en los ataques.
Se recomienda a las organizaciones con servidores Microsoft Exchange locales en su red que apliquen las últimas actualizaciones de seguridad de Exchange (siendo noviembre de 2022 el nivel mínimo de parche) o que desactiven OWA hasta que se pueda aplicar el parche CVE-2022-41080.
Desde su lanzamiento en junio, docenas de víctimas del ransomware Play han subido muestras o notas de rescate a la plataforma ID Ransomware para identificar qué ransomware se utilizó para cifrar sus datos.