Play olarak bilinen bir fidye yazılımı türüne bağlı tehdit aktörleri, Outlook Web Access (OWA) aracılığıyla uzaktan kod yürütmeyi (RCE) gerçekleştirmek için Microsoft Exchange Server’daki ProxyNotShell kusurlarına yönelik engelleme kurallarını atlayan daha önce hiç görülmemiş bir açıklardan yararlanma zincirinden yararlanıyor.
CrowdStrike araştırmacıları Brian Pitchford, Erik Iker ve Nicolas Zilio, Salı günü yayınlanan teknik bir yazıda, “Yeni istismar yöntemi, Otomatik Keşfet uç noktası için URL yeniden yazma azaltmalarını atlıyor.”
İlk olarak Haziran 2022’de ortaya çıkan Play fidye yazılımının, Eylül 2022’de Rust’a yükseltilen Hive ve Nokoyawa gibi diğer fidye yazılımı aileleri tarafından kullanılan birçok taktiği benimsediği ortaya çıktı.
Siber güvenlik şirketinin çeşitli Play fidye yazılımı izinsiz girişlerine ilişkin araştırmaları, hedef ortamlara ilk erişimin doğrudan CVE-2022-41040’tan yararlanılarak değil, OWA uç noktası aracılığıyla sağlandığını ortaya çıkardı.
dublajlı OWASSRFteknik muhtemelen ayrıcalık yükseltmesi elde etmek için CVE-2022-41080 (CVSS puanı: 8.8) olarak izlenen başka bir kritik kusurdan yararlanır ve ardından uzaktan kod yürütme için CVE-2022-41082’yi kötüye kullanır.
Hem CVE-2022-41040 hem de CVE-2022-41080’in, bir saldırganın yetkisiz dahili kaynaklara, bu durumda PowerShell uzaktan iletişim hizmetine erişmesine izin veren bir sunucu tarafı istek sahteciliği (SSRF) durumundan kaynaklandığını belirtmek gerekir.
CrowdStrike, başarılı ilk erişimin, saldırganın kalıcı erişimi sürdürmek için meşru Plink ve AnyDesk yürütülebilir dosyalarını bırakmasına ve ayrıca kötü amaçlı etkinliği gizlemek için virüs bulaşmış sunuculardaki Windows Olay Günlüklerini temizlemek için adımlar atmasına olanak tanıdığını söyledi.
Üç güvenlik açığı da Microsoft tarafından Kasım 2022 Salı Yaması güncellemelerinin bir parçası olarak giderildi. Ancak CVE-2022-41080’in CVE-2022-41040 ve CVE-2022-41082 ile birlikte sıfır gün olarak aktif bir şekilde istismar edilip edilmediği belli değil.
Windows üreticisi, CVE-2022-41080’i “İstismar Daha Muhtemel” değerlendirmesiyle etiketledi, bu da bir saldırganın kusuru güvenilir bir şekilde silah haline getirmek için kullanılabilecek açıklardan yararlanma kodu oluşturmasının mümkün olduğunu ima ediyor.
CrowdStrike ayrıca, bir kavram kanıtı (PoC) Python komut dosyasının keşfetti Huntress Labs araştırmacısı Dray Agha tarafından geçen hafta sızdırılan ve Play fidye yazılımı aktörleri tarafından ilk erişim için kullanılmış olabilir.
Bu, Python betiğinin çalıştırılmasının “en son Play fidye yazılımı saldırılarında oluşturulan günlükleri çoğaltmayı” mümkün kıldığı gerçeğiyle kanıtlanmaktadır.
Araştırmacılar, “ProxyNotShell için URL yeniden yazma hafifletme önlemleri bu yararlanma yöntemine karşı etkili olmadığından, kuruluşlar, istismarı önlemek için Exchange için 8 Kasım 2022 yamalarını uygulamalıdır.”