Play adlı bir fidye yazılımı türünün operatörleri, Exchange Server’da Microsoft’un Kasım ayında yama uyguladığı kritik bir uzaktan kod yürütme (RCE) güvenlik açığı için yeni bir yararlanma zinciri geliştirdi.
Yeni yöntem, Microsoft’un açıklardan yararlanma zinciri için sağladığı azaltmaları atlıyor, yani yalnızca bunları uygulamış ancak henüz yama uygulamamış kuruluşların bunu hemen yapması gerekiyor.
Söz konusu RCE güvenlik açığı (CVE-2022-41082), Vietnamlı güvenlik şirketi GTSC’nin Kasım ayında bir tehdit aktörünün bunları istismar ettiğini gözlemledikten sonra kamuya açıkladığı Exchange Server 2013, 2016 ve 2019 sürümlerindeki iki sözde “ProxyNotShell” kusurundan biridir. Diğer ProxyNotShell hatası şu şekilde izlenir: CVE-2022-41040saldırganlara güvenliği ihlal edilmiş bir sistemde ayrıcalıkları yükseltme yolu sağlayan bir sunucu tarafı istek sahteciliği (SSRF) hatasıdır.
GTSC’nin bildirdiği saldırıda, tehdit aktörü, Uzak PowerShell hizmetine erişmek için CVE-2022-41040 SSRF güvenlik açığını kullandı ve etkilenen sistemlerde RCE kusurunu tetiklemek için kullandı. Yanıt olarak Microsoft, kuruluşların, saldırganların etkilenen sistemlerde Autodiscover uç noktası aracılığıyla PowerShell uzak hizmetine erişmesini önlemek için bir engelleme kuralı uygulamasını önerdi. Şirket, engelleme kuralının ProxyNotShell güvenlik açıklarına karşı bilinen istismar modellerini önlemeye yardımcı olacağını iddia etti ve güvenlik araştırmacıları da kabul etti.
Yeni Yeni İstismar Zinciri
Ancak bu hafta, CrowdStrike’taki araştırmacılar Play fidye yazılımının arkasındaki tehdit aktörlerinin, Microsoft’un ProxyNotShell için azaltma önlemini atlayan CVE-2022-41082’den yararlanmak için yeni bir yöntem kullandığını gözlemlediklerini söylediler.
Yöntem, saldırganın Exchange sunucusunda şu şekilde izlenen başka bir – ve az bilinen – SSRF hatasından yararlanmasını içerir: CVE-2022-41080 Autodiscover uç noktası yerine Outlook Web Access (OWA) ön ucu aracılığıyla PowerShell uzak hizmetine erişmek için. Microsoft, hataya orijinal ProxyNotShell istismar zincirindeki SSRF hatasıyla aynı önem derecesini (8.8) atadı.
CrowdStrike, CVE-2020-41080’in, saldırganların PowerShell uzak hizmetine erişmesine ve CVE-2022-41040 kullanırken olduğu gibi CVE-2022-41082’den yararlanmak için kullanmasına izin verdiğini söyledi. Güvenlik satıcısı, Play fidye yazılımı grubunun yeni istismar zincirini “Autodiscover uç noktasından yararlanmak yerine, PowerShell uzaktan iletişim hizmetine OWA ön uç uç noktası aracılığıyla ulaşmanın daha önce belgelenmemiş bir yolu” olarak tanımladı.
Microsoft’un ProxyNotShell hafifletme özelliği yalnızca Microsoft Exchange sunucusundaki Otomatik Keşfet uç noktasına yapılan istekleri engellediğinden, OWA ön ucu aracılığıyla PowerShell uzak hizmetine erişim istekleri engellenmeyecek, güvenlik satıcısı açıkladı.
CrowdStrike, CVE-2022-41080 ve CVE-2022-41082’yi içeren yeni istismar zincirini “OWASSRF” olarak vaftiz etti.
Şimdi Yama Yapın veya OWA’yı Devre Dışı Bırakın
CrowdStrike, “ProxyNotShell için URL yeniden yazma hafifletme önlemleri bu yararlanma yöntemine karşı etkili olmadığından, kuruluşlar, kötüye kullanımı önlemek için Exchange için 8 Kasım 2022 yamalarını uygulamalıdır.” “Uygulayamazsanız, KB5019758 hemen, yama uygulanabilene kadar OWA’yı devre dışı bırakmalısınız.”
Microsoft, yorum talebine hemen yanıt vermedi.
CrowdStrike, ilk erişim vektörünün bir Microsoft Exchange Server güvenlik açığı aracılığıyla olduğu son zamanlarda Play fidye yazılımı izinsiz girişlerini araştırırken yeni istismar zincirini keşfettiğini söyledi. Araştırmacılar, Play fidye yazılımı saldırganlarının, güvenliği ihlal edilmiş Microsoft Exchange Sunucularında erişimi sürdürmek ve adli tıp tekniklerini uygulamak için meşru yükleri bırakmak üzere ProxyNotShell RCE güvenlik açığından (CVE-2022-41082) yararlandığını kısa sürede keşfetti.
Ancak, yararlanma zincirinin bir parçası olarak CVE-2022-41040’ı kullandıklarına dair hiçbir işaret yoktu. CrowdStrike’ın ayrıntılı araştırması, saldırganların bunun yerine CVE-2022-41080 kullandığını gösterdi.
Güvenlik satıcısının kuruluşlara yeni tehdide maruz kalmalarını azaltmak için önerileri, mümkün olduğunda yönetici olmayan kullanıcılar için uzak PowerShell’in devre dışı bırakılmasını ve PowerShell süreçlerini oluşturan Web hizmetlerini algılamak için EDR araçlarının kullanılmasını içerir. Şirket ayrıca bir yöneticilerin kullanabileceği komut dosyası istismar belirtileri için Exchange sunucularını izlemek için.