Grupo de ransomware incluye nueva forma para evadir las mitigaciones de MS Exchange ProxyNotShell

Los actores de amenazas afiliados al grupo de ransomware Play, están aprovechando una cadena de explotación que elude las reglas de bloqueo para las fallas de ProxyNotShell en Microsoft Exchange Server, logrando así la ejecución remota de código (RCE) a través de Outlook Web Access (OWA). “El nuevo método de explotación pasa por alto las […]

Los actores de amenazas afiliados al grupo de ransomware Play, están aprovechando una cadena de explotación que elude las reglas de bloqueo para las fallas de ProxyNotShell en Microsoft Exchange Server, logrando así la ejecución remota de código (RCE) a través de Outlook Web Access (OWA).

“El nuevo método de explotación pasa por alto las mitigaciones de reescritura de URL para el punto final de detección automática”, dijeron los investigadores de CrowdStrike Brian Pitchford, Erik Iker y Nicolas Zilio en un artículo técnico publicado el martes.

Se descubrió que el ransomware Play, que apareció por primera vez en junio de 2022, adopta muchas tácticas empleadas por otras familias de ransomware como Hive y Nokoyawa, la última de las cuales se actualizó a Rust en septiembre de este año.

Las investigaciones de la compañía de ciberseguridad sobre varias intrusiones de ransomware Play encontraron que el acceso inicial a los entornos de destino no se logró mediante la explotación directa de CVE-2022-41040, sino a través del punto final OWA.

Apodada OWASSRF, la técnica probablemente se aprovecha de otra falla crítica rastreada como CVE-2022-41080 (puntuación CVSS: 8.8) para lograr una escalada de privilegios, seguida por el abuso de CVE-2022-41082 para la ejecución remota de código.

Imagen vía The Hacker News

Vale la pena señalar que tanto el CVE-2022-41040 como CVE-2022-41080 provienen de un caso de falsificación de solicitud del lado del servidor (SSRF), que permite a un atacante acceder a recursos internos no autorizados, en este caso, el servicio remoto de PowerShell.

CrowdStrike dijo que el acceso inicial exitoso permitió al adversario eliminar ejecutables legítimos de Plink y AnyDesk para mantener el acceso persistente, así como tomar medidas para purgar los registros de eventos de Windows en los servidores infectados para ocultar la actividad maliciosa.

Microsoft abordó las tres vulnerabilidades como parte de sus actualizaciones del martes de parches para noviembre de 2022. Sin embargo, no está claro si CVE-2022-41080 se explotó activamente como un día cero junto con CVE-2022-41040 y CVE-2022-41082.

El fabricante de Windows, por su parte, ha etiquetado CVE-2022-41080 con una evaluación de “Explotación más probable”, lo que implica que es posible que un atacante cree un código de explotación que podría utilizarse para armar la falla de manera confiable.

CrowdStrike señaló además que un script Python de prueba de concepto (PoC) descubierto y filtrado por el investigador de Huntress Labs Dray Agha la semana pasada puede haber sido utilizado por los actores del ransomware Play para el acceso inicial.

Esto se evidencia por el hecho de que la ejecución de la secuencia de comandos de Python hizo posible “replicar los registros generados en los recientes ataques de ransomware Play”.

“Las organizaciones deben aplicar los parches del 8 de noviembre de 2022 para Exchange para evitar la explotación, ya que las mitigaciones de reescritura de URL para ProxyNotShell no son efectivas contra este método de explotación”, dijeron los investigadores.