Tehdit aktörlerinin, ProxyNotShell URL yeniden yazma hafifletmelerini atlayan güvenlik açığı bulunan sunucularda Outlook Web Access (OWA) aracılığıyla rastgele kod yürütme elde etmek için aktif olarak istismar ettiği, OWASSRF adlı yeni bir istismar zinciri var.
CrowdStrike Services tarafından yakın zamanda yapılan bir araştırma, Microsoft Exchange ProxyNotShell güvenlik açıklarının muhtemelen birkaç Play fidye yazılımı izinsiz girişi için ortak giriş vektörü olarak etkinleştirildiğini buldu: –
İlgili günlükler CrowdStrike tarafından incelendi ve ilk erişimin CVE-2022-41040’tan yararlandığına dair hiçbir kanıt bulunamadı.
ProxyNotShell ve Exchange Mimarisi Primeri
Bir Microsoft Exchange sunucusunu oluşturan iki ana bileşen vardır: –
Tüm istemci bağlantıları, herhangi bir talebi talebe göre arka uca proxy olarak sunan ön uç tarafından gerçekleştirilir. Bu senaryoda, URL’ler gibi ön uca yapılan belirli istekler, arka uç hizmetleri tarafından ele alınır.
Bir ProxyNotShell saldırısı, bu durumda hedeflenen arka uç hizmeti olan Remote PowerShell hizmetini hedefler. Bu tür güvenlik açıklarına SSRF (Sunucu Tarafı İstek Sahteciliği) güvenlik açığı adı verildiği bilinmektedir.
CVE-2022-41082 güvenlik açığı, uzak PowerShell kullanan güvenliği ihlal edilmiş sunucularda rasgele komutlar yürütmek için fidye yazılımı operatörleri tarafından istismar edildi.
OWASSRF PoC istismar sızıntısı
Play fidye yazılımı günlüğüne dayalı bir yararlanma yöntemi için POC kodu, şu anda CrowdStrike güvenlik araştırmacıları tarafından geliştirilme aşamasındaydı.
Son zamanlarda yapılan bir keşif, bir saldırganın tüm araçları açık bir havuzdan indirdiğini, bunları bir MegaUpload bağlantısına yüklediğini ve Twitter sitesi aracılığıyla halka açık hale getirdiğini gösterdi.
CrowdStrike araştırmacıları, son Play fidye yazılımı saldırılarında oluşturulan günlük dosyalarını, sızdırılan araç setinde yer alan poc.py adlı sızdırılmış araç setinden bir Python komut dosyası kullanarak çoğalttı.
CrowdStrike’tan Öneriler
Aşağıda, CrowdStrike tarafından sunulan tüm önerilerden bahsetmiştik:-
- ProxyNotShell için URL yeniden yazma azaltmaları bu yararlanma yöntemine karşı çalışmadığından, kuruluşlar 8 Kasım 2022 tarihli Exchange yamalarını uygulamalıdır.
- KB5019758 yaması mümkün olan en kısa sürede uygulanmalıdır, ancak bu yapılamazsa, uygulayabilene kadar OWA’yı devre dışı bırakmalısınız.
- Yönetici olmayan kullanıcılar için uzak PowerShell’i Microsoft’un önerileri doğrultusunda devre dışı bıraktığınızdan emin olun.
- Her uç noktada gelişmiş uç nokta algılama ve yanıt (EDR) çözümlerinin kullanımını uygulayın.
- IIS günlüklerinde ve Remote PowerShell günlüklerinde görünen Exchange sunucularında kötüye kullanım belirtileri olup olmadığını kontrol etmek için CrowdStrike Services tarafından geliştirilen betiği kullanın.
- Web uygulamaları için güvenlik duvarları gibi uygulama düzeyindeki kontrollerin yanı sıra sistem düzeyindeki denetimleri de hesaba katın.
- HTTP isteğindeki X-Forwarded-For başlığının, harici proxy sunucusunun gerçek IP adresini günlüğe kaydedecek şekilde yapılandırıldığından emin olun.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin