Los actores de amenazas afiliados a una variedad de ransomware conocida como Play están aprovechando una cadena de explotación nunca antes vista que elude las reglas de bloqueo para las fallas de ProxyNotShell en Microsoft Exchange Server para lograr la ejecución remota de código (RCE) a través de Outlook Web Access (OWA).
«El nuevo método de explotación pasa por alto las mitigaciones de reescritura de URL para el Punto final de detección automáticalos investigadores de CrowdStrike Brian Pitchford, Erik Iker y Nicolas Zilio dijo en un artículo técnico publicado el martes.
Play ransomware, que apareció por primera vez en junio de 2022, ha sido reveló adoptar muchas tácticas empleadas por otras familias de ransomware como Hive y Nokoyawael último de los cuales actualizado a óxido en septiembre de 2022.
Las investigaciones de la compañía de seguridad cibernética sobre varias intrusiones de ransomware Play encontraron que el acceso inicial a los entornos de destino no se logró mediante la explotación directa CVE-2022-41040sino a través del extremo de OWA.
Doblado OWASSRFla técnica probablemente se aprovecha de otra falla crítica rastreada como CVE-2022-41080 (puntuación CVSS: 8.8) para lograr una escalada de privilegios, seguida de abuso CVE-2022-41082 para la ejecución remota de código.
Vale la pena señalar que tanto CVE-2022-41040 como CVE-2022-41080 provienen de un caso de falsificación de solicitud del lado del servidor (SSRF), que permite a un atacante acceder a recursos internos no autorizados, en este caso el Comunicación remota de PowerShell Servicio.
CrowdStrike dijo que el acceso inicial exitoso permitió al adversario eliminar ejecutables legítimos de Plink y AnyDesk para mantener el acceso persistente, así como tomar medidas para purgar los registros de eventos de Windows en los servidores infectados para ocultar la actividad maliciosa.
Microsoft abordó las tres vulnerabilidades como parte de sus actualizaciones del martes de parches para noviembre de 2022. Sin embargo, no está claro si CVE-2022-41080 se explotó activamente como un día cero junto con CVE-2022-41040 y CVE-2022-41082.
El fabricante de Windows, por su parte, ha etiquetado CVE-2022-41080 con una evaluación de «Explotación más probable», lo que implica que es posible que un atacante cree un código de explotación que podría utilizarse para armar la falla de manera confiable.
CrowdStrike señaló además que un script Python de prueba de concepto (PoC) descubierto y filtrado por el investigador de Huntress Labs, Dray Agha, la semana pasada puede haber sido utilizado por los actores del ransomware Play para el acceso inicial.
Esto se evidencia por el hecho de que la ejecución de la secuencia de comandos de Python hizo posible «replicar los registros generados en los recientes ataques de ransomware Play».
«Las organizaciones deben aplicar los parches del 8 de noviembre de 2022 para Exchange para evitar la explotación, ya que las mitigaciones de reescritura de URL para ProxyNotShell no son efectivas contra este método de explotación», dijeron los investigadores.