0
0
Os operadores de uma variedade de ransomware chamada Play desenvolveram uma nova cadeia de exploração para uma vulnerabilidade crítica de execução remota de código (RCE) no Exchange Server que a Microsoft corrigiu em novembro.
O novo método ignora mitigações que a Microsoft forneceu para a cadeia de exploração, o que significa que as organizações que apenas as implementaram, mas ainda não aplicaram o patch, precisam fazê-lo imediatamente.
A vulnerabilidade RCE em questão ( CVE-2022-41082 ) é uma das duas chamadas falhas “ProxyNotShell” nas versões 2013, 2016 e 2019 do Exchange Server que a empresa de segurança vietnamita GTSC divulgou publicamente em novembro, depois de observar uma ameaça explorando-as. A outra falha do ProxyNotShell, rastreada como CVE-2022-41040 , é um bug de falsificação de solicitação do lado do servidor (SSRF) que oferece aos invasores uma maneira de elevar privilégios em um sistema comprometido.
No ataque relatado pelo GTSC, o agente da ameaça utilizou a vulnerabilidade CVE-2022-41040 SSRF para acessar o serviço Remote PowerShell e acionou a falha RCE nos sistemas afetados. Em resposta, a Microsoft recomendou que as organizações apliquem uma regra de bloqueio para impedir que invasores acessem o serviço remoto do PowerShell por meio do endpoint de descoberta automática nos sistemas afetados. A empresa alegou – e os pesquisadores de segurança concordaram – que a regra de bloqueio ajudaria a evitar padrões de exploração conhecidos contra as vulnerabilidades do ProxyNotShell.
Novela Nova Cadeia de Exploração
Esta semana, no entanto, pesquisadores da CrowdStrike disseram que observaram que os agentes de ameaças por trás do ransomware Play usam um novo método para explorar o CVE-2022-41082 que ignora a medida de mitigação da Microsoft para ProxyNotShell.
O método envolve o invasor explorando outro – e pouco conhecido – bug SSRF no servidor Exchange rastreado como CVE-2022-41080 para acessar o serviço remoto do PowerShell por meio do front-end do Outlook Web Access (OWA), em vez do endpoint de descoberta automática. A Microsoft atribuiu ao bug a mesma classificação de gravidade (8,8) que atribuiu ao bug SSRF na cadeia de exploração ProxyNotShell original.
O CVE-2020-41080 permite que os invasores acessem o serviço remoto do PowerShell e o usem para explorar o CVE-2022-41082 exatamente da mesma maneira que poderiam ao usar o CVE-2022-41040, disse CrowdStrike. O fornecedor de segurança descreveu a nova cadeia de exploração do grupo Play ransomware como uma “maneira não documentada anteriormente de acessar o serviço remoto do PowerShell por meio do endpoint de front-end OWA, em vez de aproveitar o endpoint de descoberta automática”.
Como a mitigação do ProxyNotShell da Microsoft bloqueia apenas as solicitações feitas ao endpoint de descoberta automática no servidor Microsoft Exchange, as solicitações para acessar o serviço remoto do PowerShell por meio do front-end do OWA não serão bloqueadas, explicou o fornecedor de segurança.
A CrowdStrike batizou a nova cadeia de exploração envolvendo CVE-2022-41080 e CVE-2022-41082 como “OWASSRF”.
Corrija agora ou desative o OWA
“As organizações devem aplicar os patches de 8 de novembro de 2022 para o Exchange para evitar a exploração, pois as mitigações de reescrita de URL para ProxyNotShell não são eficazes contra esse método de exploração”, alertou CrowdStrike. “Se você não puder aplicar o patch KB5019758 imediatamente, desative o OWA até que o patch possa ser aplicado.”
A Microsoft não respondeu imediatamente a um pedido de comentário.
A CrowdStrike disse que descobriu a nova cadeia de exploração ao investigar várias invasões recentes do ransomware Play, nas quais o vetor de acesso inicial era por meio de uma vulnerabilidade do Microsoft Exchange Server. Os pesquisadores descobriram rapidamente que os invasores do ransomware Play haviam explorado a vulnerabilidade ProxyNotShell RCE (CVE-2022-41082) para descartar cargas legítimas para manter o acesso e executar técnicas anti-forenses em servidores Microsoft Exchange comprometidos.
No entanto, não havia nenhum sinal de que eles tivessem usado o CVE-2022-41040 como parte da cadeia de exploração. A investigação mais aprofundada da CrowdStrike mostrou que os invasores usaram o CVE-2022-41080.
As recomendações do fornecedor de segurança para as organizações reduzirem sua exposição à nova ameaça incluem desabilitar o PowerShell remoto para usuários não administrativos sempre que possível e usar ferramentas EDR para detectar processos do PowerShell que geram serviços da Web. A empresa também forneceu um script que os administradores podem usar para monitorar servidores Exchange em busca de sinais de exploração.
FONTE: DARK READING