El grupo de ransomware Play fue descubierto explotando otro fallo poco conocido de SSRF para activar RCE en los servidores Exchange afectados.

Los operadores de una cepa de ransomware llamada Play han desarrollado una nueva cadena de exploits para una vulnerabilidad cr�tica de ejecuci�n remota de c�digo (RCE) en Exchange Server que Microsoft parche� en noviembre.

El nuevo m�todo elude las mitigaciones que Microsoft hab�a proporcionado para la cadena de exploits, lo que significa que las organizaciones que s�lo las han implementado, pero a�n no han aplicado el parche para ello deben hacerlo inmediatamente.

La vulnerabilidad RCE en cuesti�n (CVE-2022-41082) es una de las dos fallas llamadas "ProxyNotShell" en las versiones 2013, 2016 y 2019 de Exchange Server que la compa��a de seguridad vietnamita GTSC revel� p�blicamente en noviembre despu�s de observar a un actor de amenaza explot�ndolas. El otro fallo ProxyNotShell, rastreado como CVE-2022-41040, es un error de falsificaci�n de solicitud del lado del servidor (SSRF) que da a los atacantes una forma de elevar privilegios en un sistema comprometido.

En el ataque del que inform� GTSC, el actor de la amenaza utiliz� la vulnerabilidad SSRF CVE-2022-41040 para acceder al servicio PowerShell remoto y lo utiliz� para activar el fallo RCE en los sistemas afectados. En respuesta, Microsoft recomend� que las organizaciones aplicaran una regla de bloqueo para impedir que los atacantes accedieran al servicio remoto PowerShell a trav�s del punto final Autodiscover en los sistemas afectados. La empresa afirmaba -y los investigadores de seguridad estaban de acuerdo- que la regla de bloqueo ayudar�a a evitar patrones de explotaci�n conocidos contra las vulnerabilidades ProxyNotShell.

Nueva cadena de exploits

Esta semana, sin embargo, los investigadores de CrowdStrike dijeron que hab�an observado que los actores de la amenaza detr�s del ransomware Play utilizan un nuevo m�todo para explotar CVE-2022-41082 que elude la medida de mitigaci�n de Microsoft para ProxyNotShell.

El m�todo consiste en que el atacante explote otro fallo SSRF poco conocido en el servidor Exchange, identificado como CVE-2022-41080, para acceder al servicio remoto PowerShell a trav�s de la interfaz de Outlook Web Access (OWA), en lugar del punto final Autodiscover. Microsoft ha asignado al fallo la misma calificaci�n de gravedad (8,8) que al fallo SSRF de la cadena de exploits ProxyNotShell original.

CVE-2020-41080 permite a los atacantes acceder al servicio remoto PowerShell y utilizarlo para explotar CVE-2022-41082 exactamente de la misma manera que podr�an hacerlo utilizando CVE-2022-41040, dijo CrowdStrike. El proveedor de seguridad describi� la nueva cadena de exploits del grupo de ransomware Play como una "forma previamente no documentada de llegar al servicio remoto PowerShell a trav�s del punto final frontend OWA, en lugar de aprovechar el punto final Autodiscover".

Debido a que la mitigaci�n ProxyNotShell de Microsoft s�lo bloquea las solicitudes realizadas al punto final Autodiscover en el servidor Microsoft Exchange, las solicitudes para acceder al servicio remoto PowerShell a trav�s del front-end OWA no ser�n bloqueadas, explic� el proveedor de seguridad.

CrowdStrike ha bautizado la nueva cadena de exploits que involucra a CVE-2022-41080 y CVE-2022-41082 como "OWASSRF".

Parchear ahora o desactivar OWA

"Las organizaciones deben aplicar los parches del 8 de noviembre de 2022 para Exchange para evitar la explotaci�n, ya que las mitigaciones de reescritura de URL para ProxyNotShell no son efectivas contra este m�todo de explotaci�n", advirti� CrowdStrike. "Si no puede aplicar el parche KB5019758 inmediatamente, debe desactivar OWA hasta que se pueda aplicar el parche".

Microsoft no respondi� inmediatamente a una solicitud de comentarios.

CrowdStrike dijo que descubri� la nueva cadena de exploits al investigar varias intrusiones recientes del ransomware Play en las que el vector de acceso inicial era a trav�s de una vulnerabilidad de Microsoft Exchange Server. Los investigadores descubrieron r�pidamente que los atacantes del ransomware Play hab�an explotado la vulnerabilidad ProxyNotShell RCE (CVE-2022-41082) para soltar cargas �tiles leg�timas para mantener el acceso y realizar t�cnicas antiforenses en los Microsoft Exchange Servers comprometidos.

Sin embargo, no hab�a indicios de que hubieran utilizado CVE-2022-41040 como parte de la cadena de explotaci�n. La investigaci�n posterior de CrowdStrike mostr� que los atacantes hab�an utilizado en su lugar CVE-2022-41080.

Las recomendaciones del proveedor de seguridad a las organizaciones para reducir su exposici�n a la nueva amenaza incluyen deshabilitar PowerShell remoto para usuarios no administrativos siempre que sea posible y utilizar herramientas EDR para detectar servicios Web que generen procesos PowerShell. La empresa tambi�n ha proporcionado un script que los administradores pueden utilizar para supervisar los servidores Exchange en busca de indicios de explotaci�n.

Fuente: darkreading