Bedrohungsakteure, die mit einem Ransomware-Stamm namens Play in Verbindung stehen, nutzen eine noch nie dagewesene Exploit-Kette, die die Blockierungsregeln für ProxyNotShell-Schwachstellen in Microsoft Exchange Server umgeht, um Remotecodeausführung (RCE) über Outlook Web Access(OWA) zu erreichen.
„Die neue Exploit-Methode umgeht die URL-Rewrite-Maßnahmen für den Autodiscover-Endpunkt„, schreiben die CrowdStrike-Forscher Brian Pitchford, Erik Iker und Nicolas Zilio in einem am Dienstag veröffentlichten technischen Bericht.
Die Ransomware Play, die erstmals im Juni 2022 auftauchte , übernahm viele Taktiken anderer Ransomware-Familien wie Hive und Nokoyawa, die im September 2022 auf Rust umgestellt wurde.
Die Untersuchungen des Cybersecurity-Unternehmens zu mehreren Play-Ransomware-Eindringlingen ergaben, dass der anfängliche Zugang zu den Zielumgebungen nicht durch direkte Ausnutzung von CVE-2022-41040, sondern über den OWA-Endpunkt erfolgte.
Die Technik mit dem Namen OWASSRF nutzt wahrscheinlich eine andere kritische Schwachstelle namens CVE-2022-41080 (CVSS-Score: 8.8) aus, um eine Privilegienerweiterung zu erreichen, gefolgt von der Ausnutzung von CVE-2022-41082 zur Remotecodeausführung.
Es ist erwähnenswert, dass sowohl CVE-2022-41040 als auch CVE-2022-41080 auf eine serverseitige Anforderungsfälschung(SSRF) zurückzuführen sind, die es einem Angreifer ermöglicht, auf nicht autorisierte interne Ressourcen zuzugreifen, in diesem Fall auf den PowerShell-Remoting-Dienst.
Laut CrowdStrike ermöglichte der erfolgreiche Erstzugriff dem Angreifer, legitime Plink- und AnyDesk-Programme abzulegen, um den dauerhaften Zugriff aufrechtzuerhalten, und Schritte zu unternehmen, um die Windows-Ereignisprotokolle auf den infizierten Servern zu löschen, um die bösartigen Aktivitäten zu verbergen.
Alle drei Schwachstellen wurden von Microsoft im Rahmen der Patch Tuesday Updates für November 2022 behoben. Es ist jedoch unklar, ob CVE-2022-41080 zusammen mit CVE-2022-41040 und CVE-2022-41082 aktiv als Zero-Day ausgenutzt wurde.
Der Windows-Hersteller hat CVE-2022-41080 mit der Bewertung „Exploitation More Likely“ versehen, was bedeutet, dass es für einen Angreifer möglich ist, einen Exploit-Code zu erstellen, mit dem die Schwachstelle zuverlässig ausgenutzt werden kann.
CrowdStrike stellte außerdem fest, dass ein Proof-of-Concept (PoC) Python-Skript, das der Huntress Labs-Forscher Dray Agha letzte Woche entdeckte und weitergab, von den Play-Ransomware-Akteuren für den ersten Zugriff verwendet worden sein könnte.
Das beweist die Tatsache, dass es durch die Ausführung des Python-Skripts möglich war, „die Protokolle der jüngsten Play-Ransomware-Angriffe zu replizieren“.
„Organisationen sollten die Patches vom 8. November 2022 für Exchange anwenden, um eine Ausnutzung zu verhindern, da die URL-Rewrite-Maßnahmen für ProxyNotShell gegen diese Methode nicht wirksam sind“, so die Forscher.