Crowdstrike, yeni yararlanma yönteminin iki güvenlik açığı kullandığını ve Microsoft’un sağladığı ve şirket içi Exchange sunucularını etkileyen ProxyNotShell hatası için URL veya bağlantı yeniden yazma azaltmalarını atladığını söyledi.
Güvenlik satıcısı, yararlanma yöntemini OWASSRF veya Outlook Web Erişimi Sunucu Tarafı İstek Sahtekarlığı olarak adlandırdı.
Crowdstrike araştırmacıları, ilk olarak, müşterileri uzak Microsoft Exchange sunucusu tarafından sunulan hizmetler hakkında bilgilendirmek için kullanılan Autodiscover uç noktasına, ön uca yönelik kimliği doğrulanmış bir istek kullanılarak erişildiğini söyledi.
Saldırganın rasgele URL’ler için arka uca ulaşmasına izin veren CVE-2022-41040 yol karıştırma istismarı kullanılarak erişilir.
Bu tür bir güvenlik açığı, sunucu tarafı istek sahteciliği (SSRF) olarak bilinir.
ProxyNotShell söz konusu olduğunda, hedeflenen arka uç hizmeti Remote PowerShell hizmetidir.
Yeni açıktan yararlanma için sızdırılmış koda yol açan bir kavram kanıtı bağlantısı gönderildi Huntresslabs güvenlik araştırmacısı Dray Agha tarafından Twitter’a.
Agha, saldırganların araç setini açık bir depoda bulmuş ve hepsini indirmişti.
Crowdstrike, Agha tarafından yayınlanan bir Python komut dosyasını kullanarak son saldırılarda günlük dosyası girişlerini kopyalayabildi.
Crowdstrike, güvenlik firması Play fidye yazılımı izinsiz girişlerini araştırdığında, ortak giriş vektörü Microsoft Exchange olan ProxyNotShell azaltma geçişini keşfetti.
Exchange Server, son zamanlarda kaydedilen çeşitli açıklardan yararlanma ve saldırılarla bilgisayar korsanları için yaygın bir hedeftir.
Rackspace’e yönelik yüksek profilli bir saldırı, Exchange Hizmeti barındırılan bulut sağlayıcılarını ortadan kaldırdı ve müşterilere hafifletme olarak Microsoft 365’e geçmeleri söylendi.
Birkaç gün sonra Rackspace, kesintinin nedeninin, şirketin destek teknisyenlerini müşteriler için zaman alıcı veri kurtarma süreçlerine girmeye zorlayan, adı açıklanmayan kötü kişiler tarafından yapılan bir fidye yazılımı saldırısı olduğunu doğruladı.
Rackspace, fidye yazılımı saldırısının soruşturulmasına yardımcı olması için Crowdstrike’ı tuttuğunu söyledi.
Crowdstrike, URL yeniden yazma önlemleri ProxyNotShell için etkili olmadığından, Exchange yöneticilerinin kötüye kullanımı önlemek için Microsoft’un Kasım yamalarını uygulaması gerektiğini söyledi.
Exchange sunucularına hemen yama yapamayan yöneticiler, OWA’yı mümkün olan en kısa sürede devre dışı bırakmalı ve Microsoft’un, mümkün olduğunda sıradan kullanıcılar için uzak PowerShell’i devre dışı bırakma önerilerini izlemelidir.