Play라는 랜섬웨어 변종 운영자는 Microsoft가 XNUMX월에 패치한 Exchange Server의 치명적인 RCE(원격 코드 실행) 취약점에 대한 새로운 익스플로잇 체인을 개발했습니다.
이 새로운 방법은 마이크로소프트가 익스플로잇 체인에 대해 제공한 완화 조치를 우회합니다. 즉, 해당 조치만 구현했지만 아직 패치를 적용하지 않은 조직은 즉시 조치를 취해야 합니다.
문제의 RCE 취약점(CVE-2022-41082)는 소위 두 가지 중 하나입니다. Exchange Server의 "ProxyNotShell" 결함 2013, 2016, 2019 버전은 베트남 보안 회사인 GTSC가 XNUMX월 위협 행위자가 이를 악용하는 것을 관찰한 후 공개했습니다. 다른 ProxyNotShell 결함은 다음과 같이 추적됩니다. CVE-2022-41040, 공격자가 손상된 시스템에서 권한을 높일 수 있는 방법을 제공하는 서버측 요청 위조(SSRF) 버그입니다.
GTSC가 보고한 공격에서 위협 행위자는 CVE-2022-41040 SSRF 취약점을 활용하여 원격 PowerShell 서비스에 액세스하고 영향을 받는 시스템에서 RCE 결함을 트리거하는 데 사용했습니다. 이에 대해 Microsoft는 공격자가 영향을 받는 시스템의 자동 검색 끝점을 통해 PowerShell 원격 서비스에 액세스하지 못하도록 차단 규칙을 적용할 것을 조직에 권장했습니다. 이 회사는 차단 규칙이 ProxyNotShell 취약점에 대해 알려진 익스플로잇 패턴을 방지하는 데 도움이 될 것이라고 주장했으며 보안 연구원들도 동의했습니다.
새로운 익스플로잇 체인
그러나 이번 주에는 CrowdStrike의 연구원 그들은 Play 랜섬웨어 배후의 공격자가 ProxyNotShell에 대한 Microsoft의 완화 조치를 우회하는 CVE-2022-41082를 악용하는 새로운 방법을 사용하는 것을 관찰했다고 밝혔습니다.
이 방법은 공격자가 거의 알려지지 않은 Exchange 서버의 SSRF 버그를 악용하는 것과 관련이 있습니다. CVE-2022-41080 자동 검색 끝점 대신 OWA(Outlook Web Access) 프런트 엔드를 통해 PowerShell 원격 서비스에 액세스합니다. Microsoft는 이 버그에 원래 ProxyNotShell 익스플로잇 체인의 SSRF 버그와 동일한 심각도 등급(8.8)을 할당했습니다.
CVE-2020-41080은 공격자가 PowerShell 원격 서비스에 액세스하고 CVE-2022-41082을 사용할 때와 똑같은 방식으로 CVE-2022-41040를 악용하는 데 사용할 수 있다고 CrowdStrike는 말했습니다. 보안 공급업체는 Play 랜섬웨어 그룹의 새로운 익스플로잇 체인을 "Autodiscover 엔드포인트를 활용하는 대신 OWA 프런트엔드 엔드포인트를 통해 PowerShell 원격 서비스에 도달하는 이전에는 문서화되지 않은 방법"이라고 설명했습니다.
Microsoft의 ProxyNotShell 완화 기능은 Microsoft Exchange 서버의 Autodiscover 끝점에 대한 요청만 차단하기 때문에 OWA 프런트 엔드를 통해 PowerShell 원격 서비스에 액세스하려는 요청은 차단되지 않는다고 보안 공급업체는 설명했습니다.
CrowdStrike는 CVE-2022-41080 및 CVE-2022-41082와 관련된 새로운 익스플로잇 체인을 "OWASSRF"로 명명했습니다.
지금 패치하거나 OWA 비활성화
CrowdStrike는 "ProxyNotShell에 대한 URL 재작성 완화가 이 악용 방법에 대해 효과적이지 않기 때문에 조직은 익스플로잇을 방지하기 위해 Exchange용 8년 2022월 XNUMX일 패치를 적용해야 합니다."라고 경고했습니다. "적용할 수 없다면 KB5019758 패치를 즉시 적용하려면 패치가 적용될 때까지 OWA를 비활성화해야 합니다.”
Microsoft는 논평 요청에 즉시 응답하지 않았습니다.
CrowdStrike는 초기 액세스 벡터가 Microsoft Exchange Server 취약점을 통해 발생한 몇 가지 최근 Play 랜섬웨어 침입을 조사하면서 새로운 익스플로잇 체인을 발견했다고 밝혔습니다. 연구원들은 Play 랜섬웨어 공격자가 ProxyNotShell RCE 취약점(CVE-2022-41082)을 악용하여 손상된 Microsoft Exchange Server에서 액세스를 유지하고 포렌식 방지 기술을 수행하기 위해 합법적인 페이로드를 드롭했다는 사실을 신속하게 발견했습니다.
그러나 익스플로잇 체인의 일부로 CVE-2022-41040을 사용했다는 징후는 없었습니다. CrowdStrike의 추가 조사에 따르면 공격자는 CVE-2022-41080을 대신 사용했습니다.
새로운 위협에 대한 노출을 줄이기 위해 조직에 대한 보안 공급업체의 권장 사항에는 가능한 경우 관리자가 아닌 사용자에 대해 원격 PowerShell을 비활성화하고 EDR 도구를 사용하여 PowerShell 프로세스를 생성하는 웹 서비스를 탐지하는 것이 포함됩니다. 회사는 또한 관리자가 사용할 수 있는 스크립트 악용 징후가 있는지 Exchange 서버를 모니터링합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/application-security/ransomware-attackers-bypass-microsoft-mitigation-proxynotshell-exploit
