Los actores de amenazas afiliados a una variedad de ransomware conocida como Play est\u00e1n aprovechando una cadena de explotaci\u00f3n nunca antes vista que elude las reglas de bloqueo para las fallas de ProxyNotShell en Microsoft Exchange Server para lograr la ejecuci\u00f3n remota de c\u00f3digo (RCE) a trav\u00e9s de Outlook Web Access (OWA<\/a>).<\/p>\n “El nuevo m\u00e9todo de explotaci\u00f3n pasa por alto las mitigaciones de reescritura de URL para el Punto final de detecci\u00f3n autom\u00e1tica<\/a>los investigadores de CrowdStrike Brian Pitchford, Erik Iker y Nicolas Zilio dijo<\/a> en un art\u00edculo t\u00e9cnico publicado el martes.<\/p>\n Play ransomware, que apareci\u00f3 por primera vez en junio de 2022, ha sido revel\u00f3<\/a> adoptar muchas t\u00e1cticas empleadas por otras familias de ransomware como Hive y Nokoyawa<\/a>el \u00faltimo de los cuales actualizado a \u00f3xido<\/a> en septiembre de 2022.<\/p>\n Las investigaciones de la compa\u00f1\u00eda de seguridad cibern\u00e9tica sobre varias intrusiones de ransomware Play encontraron que el acceso inicial a los entornos de destino no se logr\u00f3 mediante la explotaci\u00f3n directa CVE-2022-41040<\/a>sino a trav\u00e9s del extremo de OWA.<\/p>\n Doblado OWASSRF<\/strong>la t\u00e9cnica probablemente se aprovecha de otra falla cr\u00edtica rastreada como CVE-2022-41080<\/a> (puntuaci\u00f3n CVSS: 8.8) para lograr una escalada de privilegios, seguida de abuso CVE-2022-41082<\/a> para la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n Vale la pena se\u00f1alar que tanto CVE-2022-41040 como CVE-2022-41080 provienen de un caso de falsificaci\u00f3n de solicitud del lado del servidor (SSRF<\/a>), que permite a un atacante acceder a recursos internos no autorizados, en este caso el Comunicaci\u00f3n remota de PowerShell<\/a> Servicio.<\/p>\n CrowdStrike dijo que el acceso inicial exitoso permiti\u00f3 al adversario eliminar ejecutables leg\u00edtimos de Plink y AnyDesk para mantener el acceso persistente, as\u00ed como tomar medidas para purgar los registros de eventos de Windows en los servidores infectados para ocultar la actividad maliciosa.<\/p>\n Microsoft abord\u00f3 las tres vulnerabilidades como parte de sus actualizaciones del martes de parches para noviembre de 2022. Sin embargo, no est\u00e1 claro si CVE-2022-41080 se explot\u00f3 activamente como un d\u00eda cero junto con CVE-2022-41040 y CVE-2022-41082.<\/p>\n El fabricante de Windows, por su parte, ha etiquetado CVE-2022-41080 con una evaluaci\u00f3n de “Explotaci\u00f3n m\u00e1s probable”, lo que implica que es posible que un atacante cree un c\u00f3digo de explotaci\u00f3n que podr\u00eda utilizarse para armar la falla de manera confiable.<\/p>\n CrowdStrike se\u00f1al\u00f3 adem\u00e1s que un script Python de prueba de concepto (PoC) descubierto<\/a> y filtrado por el investigador de Huntress Labs, Dray Agha, la semana pasada puede haber sido utilizado por los actores del ransomware Play para el acceso inicial.<\/p>\n Esto se evidencia por el hecho de que la ejecuci\u00f3n de la secuencia de comandos de Python hizo posible “replicar los registros generados en los recientes ataques de ransomware Play”.<\/p>\n “Las organizaciones deben aplicar los parches del 8 de noviembre de 2022 para Exchange para evitar la explotaci\u00f3n, ya que las mitigaciones de reescritura de URL para ProxyNotShell no son efectivas contra este m\u00e9todo de explotaci\u00f3n”, dijeron los investigadores.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/Google-lanza-la-mayor-base-de-datos-distribuida-de-vulnerabilidades.png\")
<\/a><\/center><\/div>\n![\"MS](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1671646671_78_Hackers-de-ransomware-utilizan-una-nueva-forma-de-eludir-las.png\" "\\"MS")
<\/div>\n