Os invasores que usam ransomware estão usando uma nova cadeia de exploração que inclui uma das vulnerabilidades ProxyNotShell (CVE-2022-41082) para obter a execução remota de código em servidores Microsoft Exchange. A cadeia de exploração ProxyNotShell usou CVE-2022-41040, uma vulnerabilidade SSRF no ponto de extremidade Autodiscover do Microsoft Exchange, enquanto esta nova usa CVE-2022-41080 para obter escalonamento de privilégios por meio do Outlook Web Access (OWA).
A cadeia de exploração – apelidada de OWASSRF pelos pesquisadores da Crowdstrike – só pode ser evitada implementando os patches para o Microsoft Exchange lançados em novembro de 2022.
As mitigações de reescrita de URL para ProxyNotShell que a Microsoft compartilhou antes que os patches estivessem prontos não são eficazes contra esse método de exploração, dizem eles , e instam as organizações que não podem aplicar o patch a desativar temporariamente o OWA.
As pistas que levam ao CVE-2022-41080
Os pesquisadores detectaram a exploração selvagem do CVE-2022-41082 ao investigar as invasões do ransomware Play em que o vetor de entrada comum era o Microsoft Exchange.
Eles pensaram que os invasores poderiam ter aproveitado a cadeia de exploração ProxyNotShell, mas não encontraram evidências de exploração de CVE-2022-41040. Em vez disso, eles notaram solicitações POST feitas por meio do terminal OWA.
A diferença entre as duas cadeias de exploração (Fonte: Crowdstrike)
Enquanto isso, o pesquisador de ameaças da Huntress Labs, Dray Agha, conseguiu obter ferramentas de ataque por meio de um repositório aberto e entre elas estava um script PoC que aproveitava uma técnica de exploração OWA desconhecida e a exploração CVE-2022-41082.
Os pesquisadores da CrowdStrike implantaram com sucesso o exploit OWASSRF contra sistemas Exchange não corrigidos, mas não conseguiram replicar o ataque em sistemas corrigidos. E, como o patch KB5019758 de novembro corrige uma falha de sequestro de DLL e uma falha cujo CVSS pontua como CVE-2022-41040 e foi marcado como “exploração mais provável”, eles avaliam “é altamente provável que a técnica OWA empregada esteja de fato empatada para CVE-2022-41080.”
CVE-2022-41080 é uma das duas vulnerabilidades que quatro pesquisadores do 360 Noah Lab e VcsLab da Viettel Cyber Security recentemente concatenarampara obter RCE no Exchange local, Exchange Online e Skype for Business Server. Eles os relataram à Microsoft, que corrigiu o CVE-2022-41080 em novembro e o outro em dezembro.
“Após o acesso inicial por meio desse novo método de exploração, o agente da ameaça aproveitou os executáveis Plink e AnyDesk legítimos para manter o acesso e executou técnicas anti-forenses no servidor Microsoft Exchange na tentativa de ocultar sua atividade”, concluíram os pesquisadores da Crowdstrike e forneceram informações adicionais assessoria para mitigar o risco e detectar indícios de exploração.
ATUALIZAÇÃO (22 de dezembro de 2022, 06h10 ET):
O Rapid7 detectou um aumento no número de comprometimentos do servidor Microsoft Exchange por meio dessa cadeia de exploração e forneceu indicadores de comprometimento relacionados à campanha.
FONTE: HELPNET SECURITY