Yeni yöntem, Microsoft’un açıklardan yararlanma zinciri için sağladığı azaltmaları atlıyor, yani yalnızca bunları uygulamış ancak henüz yama uygulamamış kuruluşların bunu hemen yapması gerekiyor.
Söz konusu RCE güvenlik açığı (CVE-2022-41082), Vietnamlı güvenlik şirketi GTSC’nin Kasım ayında bir tehdit aktörünün bunları sömürdüğünü gözlemledikten sonra kamuya açıkladığı Exchange Server 2013, 2016 ve 2019 sürümlerindeki iki sözde “ProxyNotShell” açığından biridir. CVE-2022-41040 olarak izlenen diğer ProxyNotShell kusuru, saldırganlara tehlikeye atılmış bir sistemde ayrıcalıkları yükseltme yolu sağlayan bir sunucu tarafı istek sahteciliği (SSRF) hatasıdır.
GTSC’nin bildirdiği saldırıda, tehdit aktörü, Uzak PowerShell hizmetine erişmek için CVE-2022-41040 SSRF güvenlik açığını kullandı ve etkilenen sistemlerde RCE kusurunu tetiklemek için kullandı. Yanıt olarak Microsoft, kuruluşların, saldırganların etkilenen sistemlerde Autodiscover uç noktası aracılığıyla PowerShell uzak hizmetine erişmesini önlemek için bir engelleme kuralı uygulamasını önerdi. Şirket, engelleme kuralının ProxyNotShell güvenlik açıklarına karşı bilinen istismar modellerini önlemeye yardımcı olacağını iddia etti ve güvenlik araştırmacıları da kabul etti.
Yeni Yeni İstismar Zinciri
Ancak bu hafta CrowdStrike araştırmacıları, Play fidye yazılımının arkasındaki tehdit aktörlerinin, Microsoft’un ProxyNotShell için azaltma önlemini atlayan CVE-2022-41082’den yararlanmak için yeni bir yöntem kullandıklarını gözlemlediklerini söyledi.
Yöntem, saldırganın Autodiscover uç noktası yerine Outlook Web Access (OWA) ön ucu aracılığıyla PowerShell uzak hizmetine erişmek için Exchange sunucusunda CVE-2022-41080 olarak izlenen başka ve az bilinen bir SSRF hatasını kullanmasını içerir. Microsoft, hataya orijinal ProxyNotShell istismar zincirindeki SSRF hatasıyla aynı önem derecesini (8.8) atadı.
CrowdStrike, CVE-2020-41080’in, saldırganların PowerShell uzak hizmetine erişmesine ve CVE-2022-41040 kullanırken olduğu gibi CVE-2022-41082’den yararlanmak için kullanmasına izin verdiğini söyledi. Güvenlik satıcısı, Play fidye yazılımı grubunun yeni istismar zincirini “Autodiscover uç noktasından yararlanmak yerine, PowerShell uzaktan iletişim hizmetine OWA ön uç uç noktası aracılığıyla ulaşmanın daha önce belgelenmemiş bir yolu” olarak tanımladı.
Microsoft’un ProxyNotShell hafifletme özelliği yalnızca Microsoft Exchange sunucusundaki Otomatik Keşfet uç noktasına yapılan istekleri engellediğinden, OWA ön ucu aracılığıyla PowerShell uzak hizmetine erişim istekleri engellenmeyecek, güvenlik satıcısı açıkladı.
CrowdStrike, CVE-2022-41080 ve CVE-2022-41082’yi içeren yeni istismar zincirini “OWASSRF” olarak vaftiz etti.
Microsoft, saldırının azaltmaları atladığını, ancak sorun için mevcut yamayı atladığını vurguladı.
Dark Reading’e konuşan bir Microsoft sözcüsü, “Rapor edilen yöntem, en son güvenlik güncellemelerimizi uygulamayan savunmasız sistemlerden yararlanıyor.”
Şimdi Yama Yapın veya OWA’yı Devre Dışı Bırakın
CrowdStrike, ilk erişim vektörünün bir Microsoft Exchange Server güvenlik açığı aracılığıyla olduğu son zamanlarda Play fidye yazılımı izinsiz girişlerini araştırırken yeni istismar zincirini keşfettiğini söyledi. Araştırmacılar, Play fidye yazılımı saldırganlarının, güvenliği ihlal edilmiş Microsoft Exchange Sunucularında erişimi sürdürmek ve adli tıp tekniklerini uygulamak için meşru yükleri bırakmak üzere ProxyNotShell RCE güvenlik açığından (CVE-2022-41082) yararlandığını kısa sürede keşfetti.
Ancak, yararlanma zincirinin bir parçası olarak CVE-2022-41040’ı kullandıklarına dair hiçbir işaret yoktu. CrowdStrike’ın ayrıntılı araştırması, saldırganların bunun yerine CVE-2022-41080 kullandığını gösterdi.
CrowdStrike, Microsoft’u yineleyerek, “ProxyNotShell için URL yeniden yazma azaltmaları bu yararlanma yöntemine karşı etkili olmadığından, kuruluşlar istismarı önlemek için Exchange için 8 Kasım 2022 yamalarını uygulamalıdır.” “KB5019758 yamasını hemen uygulayamazsanız, yama uygulanana kadar OWA’yı devre dışı bırakmalısınız.”
Güvenlik satıcısının kuruluşlara yeni tehdide maruz kalmalarını azaltmak için diğer önerileri arasında, mümkün olduğunda yönetici olmayan kullanıcılar için uzak PowerShell’in devre dışı bırakılması ve PowerShell süreçlerini oluşturan Web hizmetlerini algılamak için EDR araçlarının kullanılması yer alır. Şirket ayrıca, yöneticilerin Exchange sunucularını istismar belirtilerine karşı izlemek için kullanabilecekleri bir komut dosyası da sağladı.