De exploitanten van een ransomware-soort genaamd Play hebben een nieuwe exploitketen ontwikkeld voor een kritieke RCE-kwetsbaarheid (Remote Code Execution) in Exchange Server die Microsoft in november heeft gepatcht.
De nieuwe methode omzeilt mitigaties die Microsoft had voorzien voor de exploit chain, wat betekent dat organisaties die alleen deze hebben geïmplementeerd maar de patch er nog niet voor hebben toegepast, dit onmiddellijk moeten doen.
De betreffende RCE-kwetsbaarheid (CVE-2022-41082) is een van de twee zogenaamde "ProxyNotShell"-fouten in Exchange Server versies 2013, 2016 en 2019 die het Vietnamese beveiligingsbedrijf GTSC in november openbaar maakte na te hebben waargenomen dat een bedreigingsactor hen uitbuitte. De andere ProxyNotShell-fout, bijgehouden als CVE-2022-41040, is een server-side request forgery (SSRF) bug die aanvallers een manier geeft om privileges op een gecompromitteerd systeem te verhogen.
Bij de aanval die GTSC meldde, gebruikte de bedreigingsactor de CVE-2022-41040 SSRF-kwetsbaarheid om toegang te krijgen tot de Remote PowerShell-service en gebruikte deze om de RCE-fout op getroffen systemen te activeren. Als reactie hierop adviseerde Microsoft dat organisaties een blokkeringsregel toepassen om te voorkomen dat aanvallers toegang krijgen tot de externe PowerShell-service via het Autodiscover-eindpunt op getroffen systemen. Het bedrijf beweerde - en beveiligingsonderzoekers waren het erover eens - dat de blokkeerregel zou helpen bekende exploitpatronen tegen de ProxyNotShell-kwetsbaarheden te voorkomen.
Nieuwe nieuwe exploitatieketen
Deze week echter onderzoekers van CrowdStrike zeiden dat ze hadden waargenomen dat de bedreigingsactoren achter de Play-ransomware een nieuwe methode gebruikten om CVE-2022-41082 te misbruiken die de beperkingsmaatregel van Microsoft voor ProxyNotShell omzeilt.
Bij deze methode misbruikt de aanvaller een andere - en weinig bekende - SSRF-bug in de Exchange-server die wordt gevolgd als CVE-2022-41080 om toegang te krijgen tot de externe PowerShell-service via de Outlook Web Access (OWA) front-end, in plaats van het Autodiscover-eindpunt. Microsoft heeft de bug dezelfde ernstclassificatie (8.8) gegeven als voor de SSRF-bug in de oorspronkelijke ProxyNotShell-exploitketen.
CVE-2020-41080 stelt aanvallers in staat om toegang te krijgen tot de externe PowerShell-service en deze te gebruiken om CVE-2022-41082 op precies dezelfde manier uit te buiten als ze zouden kunnen bij het gebruik van CVE-2022-41040, zei CrowdStrike. De beveiligingsleverancier beschreef de nieuwe exploitketen van de Play-ransomwaregroep als een "eerder ongedocumenteerde manier om de PowerShell-service op afstand te bereiken via het OWA-frontend-eindpunt, in plaats van gebruik te maken van het Autodiscover-eindpunt."
Omdat de ProxyNotShell-mitigatie van Microsoft alleen verzoeken aan het Autodiscover-eindpunt op de Microsoft Exchange-server blokkeert, worden verzoeken om toegang tot de externe PowerShell-service via de OWA-frontend niet geblokkeerd, legt de beveiligingsleverancier uit.
CrowdStrike heeft de nieuwe exploitketen met CVE-2022-41080 en CVE-2022-41082 gedoopt als "OWASSRF".
Patch nu of schakel OWA uit
"Organisaties moeten de patches voor Exchange van 8 november 2022 toepassen om misbruik te voorkomen, aangezien de URL-herschrijfbeperkingen voor ProxyNotShell niet effectief zijn tegen deze exploitmethode", waarschuwde CrowdStrike. “Als u de KB5019758 patch onmiddellijk, moet u OWA uitschakelen totdat de patch kan worden toegepast.”
Microsoft reageerde niet onmiddellijk op een verzoek om commentaar.
CrowdStrike zei dat het de nieuwe exploitketen ontdekte bij het onderzoeken van verschillende recente inbraken met Play-ransomware waarbij de initiële toegangsvector via een Microsoft Exchange Server-kwetsbaarheid was. De onderzoekers ontdekten al snel dat aanvallers van de Play-ransomware de ProxyNotShell RCE-kwetsbaarheid (CVE-2022-41082) hadden uitgebuit om legitieme payloads te laten vallen voor het behouden van toegang en het uitvoeren van anti-forensische technieken op gecompromitteerde Microsoft Exchange-servers.
Er was echter geen teken dat ze CVE-2022-41040 hadden gebruikt als onderdeel van de exploitketen. Uit verder onderzoek van CrowdStrike bleek dat de aanvallers in plaats daarvan CVE-2022-41080 hadden gebruikt.
De aanbevelingen van de beveiligingsleverancier aan organisaties om hun blootstelling aan de nieuwe dreiging te verminderen, omvatten het waar mogelijk uitschakelen van PowerShell op afstand voor niet-administratieve gebruikers en het gebruik van EDR-tools om webservices te detecteren die PowerShell-processen voortbrengen. Het bedrijf heeft ook een script dat beheerders kunnen gebruiken om Exchange-servers te controleren op tekenen van uitbuiting.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/application-security/ransomware-attackers-bypass-microsoft-mitigation-proxynotshell-exploit
