Detección de Exploit OWASSRF: Nuevo Método de Explotación Abusa de Servidores Exchange para Eludir Mitigaciones de ProxyNotShell (CVE-2022-41040 y CVE-2022-41082) y Obtener RCE

[post-views]
diciembre 22, 2022 · 4 min de lectura
Detección de Exploit OWASSRF: Nuevo Método de Explotación Abusa de Servidores Exchange para Eludir Mitigaciones de ProxyNotShell (CVE-2022-41040 y CVE-2022-41082) y Obtener RCE

El 20 de diciembre de 2022, investigadores de ciberseguridad descubrieron un nuevo método de explotación llamado OWASSRF que implica encadenar las vulnerabilidades CVE-2022-41080 y CVE-2022-41082 para obtener RCE a través de la escalada de privilegios mediante Outlook Web Access (OWA). OWASSRF es capaz de eludir ProxyNotShell las mitigaciones. Los defensores cibernéticos destacan que estos ataques en curso representan una amenaza para un número creciente de servidores Microsoft Exchange.

Detectar intentos de explotación de OWASSRF

Las vulnerabilidades de día cero de Microsoft Exchange conocidas como ProxyNotShell han sido explotadas activamente en la naturaleza desde septiembre de 2022, haciendo que los defensores cibernéticos de todo el mundo se mantengan alertas a su posible impacto. Con el descubrimiento de un nuevo método de explotación llamado OWASSRF que aprovecha la encadenación de las vulnerabilidades CVE-2022-41080 y CVE-2022-41082 y elude las mitigaciones de Microsoft para ProxyNotShell, los defensores deben prepararse para una nueva amenaza.

Para ayudar a las organizaciones globales a identificar oportunamente posibles compromisos de sus servidores de Microsoft Exchange, la plataforma de SOC Prime recopila una lista de reglas Sigma dedicadas. Estos algoritmos de detección desarrollados por el equipo de SOC Prime y nuestro contribuyente de contenido Threat Bounty, Nasreddine Bencherchali, se pueden aplicar a soluciones líderes del mercado como SIEM, EDR, XDR y análisis de datos. Todas las reglas Sigma están alineadas con MITRE ATT&CK® abordando la táctica de Acceso Inicial con la técnica de Explotación de Aplicaciones Expuestas al Público (T1190) aplicada como su técnica principal.

Únase a las fuerzas de desarrollo de contenido colaborativo a través del Programa Threat Bounty para ayudar a la comunidad global de defensores cibernéticos a adelantarse a los atacantes. Escriba sus propias reglas Sigma etiquetadas con ATT&CK, publíquelas en la plataforma de SOC Prime, y gane tanto dinero como reconocimiento de sus colegas de la industria.

Haga clic en el Explorar Detecciones botón para acceder a la colección completa de nuevas reglas Sigma lanzadas para la detección de intentos de explotación de OWASSRF. ¿Buscas metadatos? Explora el contexto relevante de amenazas cibernéticas, incluidos enlaces ATT&CK y CTI, binarios ejecutables, mitigaciones y profundiza para más detalles.

Explorar Detecciones

Análisis de OWASSRF: Nueva Cadena de Explotación para Comprometer Servidores Exchange con Ejecución Remota de Código

Un gran dolor de cabeza para los profesionales de seguridad durante la temporada de vacaciones ha sido descubierto por los investigadores de CrowdStrike. La reciente invitación detalla un nuevo método de explotación que permite a los adversarios comprometer servidores Microsoft Exchange para RCE. Apodada OWASSRF, la técnica maliciosa permite a los atacantes eludir las mitigaciones de reescritura de URL introducidas por Microsoft para ProxyNotShell y lograr RCE mediante la escalada de privilegios a través de Outlook Web Access (OWA).

Inicialmente, OWASSRF se ha observado durante la investigación de campañas de ransomware Play. Los adversarios confiaban en servidores Exchange afectados para penetrar en la red objetivo. Los investigadores sospechaban que los atacantes aprovechaban un ProxyNotShell típico de Microsoft Exchange (CVE-2022-41040, CVE-2022-41082). Sin embargo, los datos de registro no mostraban signos de explotación de CVE-2022-41040 para el acceso inicial. En su lugar, las solicitudes se detectaron directamente a través del punto final OWA, revelando una cadena de explotación desconocida para Exchange.

La investigación reveló que los atacantes confiaban en otra vulnerabilidad al usar el método OWASSRF. En particular, los hackers explotaron la CVE-2022-41080, que permite la escalada remota de privilegios en los servidores Exchange. La falla ha sido reportada a Microsoft y corregida en noviembre de 2022. Curiosamente, esta brecha de seguridad se consideró crítica pero no se explotó en la naturaleza en ese momento.

El 14 de diciembre de 2022, el exploit de prueba de concepto (PoC) fue publicado en la web por el investigador Dray Agha junto con otra herramienta ofensiva. Según CrowdStrike, este PoC coincidía con el exploit utilizado en los ataques de ransomware Play, siendo utilizado para entregar herramientas de acceso remoto como Plink y AnyDesk.

Según el último informe de Rapid7, los expertos en seguridad están observando una tasa creciente de servidores de Microsoft Exchange comprometidos a través de la cadena de explotación OWASSRF, incluidas las versiones de software 2013, 2016 y 2018. Los investigadores de Rapid7 señalan que los servidores Exchange que utilizan las mitigaciones de Microsoft pueden verse afectados, mientras que los servidores parcheados parecen no ser vulnerables. Para proteger su infraestructura oportunamente, se insta a las organizaciones expuestas a aprovechar la solución Patch Tuesday del 8 de noviembre de 2022 de Microsoft para abordar el CVE-2022-41082. En caso de no ser posible un parcheo inmediato, se recomienda a los proveedores deshabilitar OWA por completo. addressing CVE-2022-41082. In case immediate patching is not an option, vendors are recommended to disable OWA completely.

Como medidas de mitigación adicionales, los proveedores deben seguir las recomendaciones de Microsoft para deshabilitar PowerShell para los usuarios sin privilegios de administrador, monitorear constantemente sus servidores Exchange en busca de signos de compromiso, aplicar firewalls de aplicaciones web y adoptar las mejores prácticas de seguridad para mantener la higiene cibernética.

Manténgase al tanto de los adversarios con capacidades de defensa cibernética proactiva al alcance de la mano, incluidas 700 reglas Sigma para vulnerabilidades existentes. Accese instantáneamente a 120+ detections de forma gratuita o equípese por completo con On-Demand en https://my.socprime.com/pricing.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.