Группа разработчиков шифровальщиков Play была замечена за использованием другой малоизвестной ошибки SSRF для запуска RCE на пораженных серверах Exchange.
Операторы штамма шифровальщика под названием Play разработали новую цепочку эксплойтов для критической уязвимости удаленного выполнения кода (RCE) в Exchange Server, которую Microsoft исправила в ноябре.
Новый метод обходит средства защиты, которые Microsoft предоставила для цепочки эксплойтов, поэтому организациям, которые только внедрили эти средства, но еще не применили патч для этой уязвимости, необходимо сделать это немедленно.
Рассматриваемая уязвимость RCE (CVE-2022-41082) является одной из двух так называемых «ProxyNotShell» уязвимостей в Exchange Server версий 2013, 2016 и 2019, которые вьетнамская компания безопасности GTSC публично раскрыла в ноябре после наблюдения за тем, как их эксплуатируют хакеры. Другой недостаток ProxyNotShell, отслеживаемый как CVE-2022-41040, представляет собой подделку запросов на стороне сервера (SSRF), которая дает злоумышленникам возможность повысить привилегии на взломанной системе.
В атаке, о которой сообщила GTSC, злоумышленники использовали уязвимость CVE-2022-41040 SSRF для доступа к службе Remote PowerShell и использовали ее для запуска дефекта RCE на пораженных системах. В ответ Microsoft рекомендовала организациям применить блокирующее правило, чтобы предотвратить доступ атакующих к удаленной службе PowerShell через конечную точку Autodiscover на затронутых системах. Компания утверждала - и исследователи безопасности согласились с этим - что правило блокировки поможет предотвратить известные шаблоны эксплуатации уязвимостей ProxyNotShell.
Новая цепочка эксплойтов.
Однако на этой неделе исследователи из CrowdStrike сообщили, что наблюдали за тем, как хакеры, стоящие за программой Play, используют новый метод эксплуатации CVE-2022-41082, который обходит меры Microsoft по смягчению последствий ProxyNotShell.
Этот метод предполагает использование злоумышленником другой - малоизвестной - ошибки SSRF в сервере Exchange, отслеживаемой как CVE-2022-41080, для доступа к удаленной службе PowerShell через внешний интерфейс Outlook Web Access (OWA) вместо конечной точки Autodiscover. Microsoft присвоила этой ошибке тот же рейтинг критичности (8.8), что и ошибке SSRF в оригинальной цепочке эксплойтов ProxyNotShell.
CVE-2020-41080 позволяет злоумышленникам получить доступ к удаленной службе PowerShell и использовать ее для эксплуатации CVE-2022-41082 точно таким же образом, как и при использовании CVE-2022-41040, сообщили в CrowdStrike. Поставщик систем безопасности описал новую цепочку эксплойтов группы Play как «ранее недокументированный способ доступа к службе удаленного доступа PowerShell через внешнюю точку OWA, вместо использования конечной точки Autodiscover».
Поскольку защита ProxyNotShell от Microsoft блокирует только запросы к конечной точке Autodiscover на сервере Microsoft Exchange, запросы на доступ к удаленной службе PowerShell через внешнюю точку OWA не блокируются, пояснил производитель систем безопасности.
CrowdStrike окрестила новую цепочку эксплойтов, включающую CVE-2022-41080 и CVE-2022-41082, как «OWASSRF».
Установите патч или отключайте OWA.
«Организациям следует применить исправления для Exchange от 8 ноября 2022 года, чтобы предотвратить эксплуатацию, поскольку средства защиты от перезаписи URL для ProxyNotShell не эффективны против этого метода эксплуатации» - предупреждает CrowdStrike. «Если вы не можете применить патч KB5019758 немедленно, вам следует отключить OWA до тех пор, пока патч не будет применен».
Компания Microsoft не ответила на просьбу о комментарии.
CrowdStrike заявила, что обнаружила новую цепочку эксплойтов при исследовании нескольких недавних вторжений Play, где первоначальный вектор доступа осуществлялся через уязвимость Microsoft Exchange Server. Исследователи быстро обнаружили, что атакующие использовали уязвимость ProxyNotShell RCE (CVE-2022-41082) для сброса легитимной полезной нагрузки для поддержания доступа и выполнения методов антикриминалистики на взломанных серверах Microsoft Exchange.
Однако не было никаких признаков того, что они использовали CVE-2022-41040 как часть цепочки эксплойтов. Дальнейшее расследование CrowdStrike показало, что вместо него злоумышленники использовали CVE-2022-41080.
Рекомендации производителя безопасности для организаций по снижению подверженности новой угрозе включают отключение удаленного PowerShell для неадминистративных пользователей, где это возможно, и использование инструментов EDR для обнаружения веб-служб, порождающих процессы PowerShell. Компания также предоставила скрипт, который администраторы могут использовать для мониторинга серверов Exchange на наличие признаков эксплуатации.
Источник: https://www.darkreading.com