Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Hackers de ransomware utilizan una nueva forma de eludir las mitigaciones de MS Exchange ProxyNotShell
  • Tecnología

Hackers de ransomware utilizan una nueva forma de eludir las mitigaciones de MS Exchange ProxyNotShell

teknomers 21 de Aralık de 2022 (Last updated: 21 de Aralık de 2022) 3 minutes read
Hackers de ransomware utilizan una nueva forma de eludir las


21 de diciembre de 2022Ravie LakshmanánSeguridad de correo electrónico / Seguridad de datos

Los actores de amenazas afiliados a una variedad de ransomware conocida como Play están aprovechando una cadena de explotación nunca antes vista que elude las reglas de bloqueo para las fallas de ProxyNotShell en Microsoft Exchange Server para lograr la ejecución remota de código (RCE) a través de Outlook Web Access (OWA).

“El nuevo método de explotación pasa por alto las mitigaciones de reescritura de URL para el Punto final de detección automáticalos investigadores de CrowdStrike Brian Pitchford, Erik Iker y Nicolas Zilio dijo en un artículo técnico publicado el martes.

Play ransomware, que apareció por primera vez en junio de 2022, ha sido reveló adoptar muchas tácticas empleadas por otras familias de ransomware como Hive y Nokoyawael último de los cuales actualizado a óxido en septiembre de 2022.

La seguridad cibernética

Las investigaciones de la compañía de seguridad cibernética sobre varias intrusiones de ransomware Play encontraron que el acceso inicial a los entornos de destino no se logró mediante la explotación directa CVE-2022-41040sino a través del extremo de OWA.

Doblado OWASSRFla técnica probablemente se aprovecha de otra falla crítica rastreada como CVE-2022-41080 (puntuación CVSS: 8.8) para lograr una escalada de privilegios, seguida de abuso CVE-2022-41082 para la ejecución remota de código.

MS Exchange ProxyNotShell RCE

Vale la pena señalar que tanto CVE-2022-41040 como CVE-2022-41080 provienen de un caso de falsificación de solicitud del lado del servidor (SSRF), que permite a un atacante acceder a recursos internos no autorizados, en este caso el Comunicación remota de PowerShell Servicio.

CrowdStrike dijo que el acceso inicial exitoso permitió al adversario eliminar ejecutables legítimos de Plink y AnyDesk para mantener el acceso persistente, así como tomar medidas para purgar los registros de eventos de Windows en los servidores infectados para ocultar la actividad maliciosa.

Microsoft abordó las tres vulnerabilidades como parte de sus actualizaciones del martes de parches para noviembre de 2022. Sin embargo, no está claro si CVE-2022-41080 se explotó activamente como un día cero junto con CVE-2022-41040 y CVE-2022-41082.

El fabricante de Windows, por su parte, ha etiquetado CVE-2022-41080 con una evaluación de “Explotación más probable”, lo que implica que es posible que un atacante cree un código de explotación que podría utilizarse para armar la falla de manera confiable.

CrowdStrike señaló además que un script Python de prueba de concepto (PoC) descubierto y filtrado por el investigador de Huntress Labs, Dray Agha, la semana pasada puede haber sido utilizado por los actores del ransomware Play para el acceso inicial.

Esto se evidencia por el hecho de que la ejecución de la secuencia de comandos de Python hizo posible “replicar los registros generados en los recientes ataques de ransomware Play”.

“Las organizaciones deben aplicar los parches del 8 de noviembre de 2022 para Exchange para evitar la explotación, ya que las mitigaciones de reescritura de URL para ProxyNotShell no son efectivas contra este método de explotación”, dijeron los investigadores.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Gwen Stefani: ¿Continuará No Doubt pronto?
Next: Los registros fiscales de Trump muestran $ 53 millones en pérdidas netas durante un período de seis años

Related Stories

Microsoft corrige el bug de Windows 11 que saturaba los
  • Tecnología

Microsoft corrige el bug de Windows 11 que saturaba los SSD

teknomers 15 de Temmuz de 2026
OpenAI embarazada de IA: proyecto de hardware con Jony Ive,
  • Tecnología

OpenAI embarazada de IA: proyecto de hardware con Jony Ive, lanzamiento previsto en 2027 frente a Apple

teknomers 15 de Temmuz de 2026
Windows, Bing, Copilot: cómo Microsoft te impulsa una y otra
  • Tecnología

Windows, Bing, Copilot: cómo Microsoft te impulsa una y otra vez hacia su navegador Edge

teknomers 15 de Temmuz de 2026

You May Have Missed

  • General

Tragedia en barco en San Francisco: Un muerto, dos desaparecidos tras hundimiento de embarcación cerca de Alcatraz – Teknomers

teknomers 15 de Temmuz de 2026
  • Deporte

Thomas Meunier: Sunderland ficha al experimentado defensor belga con un contrato de dos años

teknomers 15 de Temmuz de 2026
  • Finanzas

«Es preocupante, pero no insuperable»: los revendedores de videojuegos se preparan para el fin del disco en PlayStation.

teknomers 15 de Temmuz de 2026
Copa del Mundo, J0 y Euro… España a un partido
  • Deporte

Copa del Mundo, J0 y Euro… España a un partido de ser el primer equipo masculino en lograr un increíble triplete

teknomers 15 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.