Détection d’Exploit OWASSRF : Une Nouvelle Méthode d’Exploitation Abuse des Serveurs Exchange pour Contourner les Atténuations ProxyNotShell (CVE-2022-41040 et CVE-2022-41082) et Obtenir un RCE
Table des matières :
Le 20 décembre 2022, des chercheurs en cybersécurité ont découvert une nouvelle méthode d’exploitation baptisée OWASSRF qui implique de chaîner les vulnérabilités CVE-2022-41080 et CVE-2022-41082 pour obtenir une RCE par élévation de privilèges via Outlook Web Access (OWA). OWASSRF est capable de contourner ProxyNotShell les atténuations. Les défenseurs cyber soulignent que ces attaques en cours constituent une menace pour un nombre croissant de serveurs Microsoft Exchange.
Détecter les tentatives d’exploitation OWASSRF
vulnérabilités zero-day de Microsoft Exchange connues sous le nom de ProxyNotShell ont été exploitées activement dans la nature depuis septembre 2022, ce qui oblige les défenseurs cyber du monde entier à rester vigilants face à leur impact potentiel. Avec la découverte d’une nouvelle méthode d’exploitation appelée OWASSRF qui tire parti de l’enchaînement des vulnérabilités CVE-2022-41080 et CVE-2022-41082 et contourne les atténuations de Microsoft pour ProxyNotShell, les défenseurs doivent se préparer à une nouvelle menace.
Pour aider les organisations mondiales à identifier rapidement les compromis potentiels de leurs serveurs Microsoft Exchange, la plateforme SOC Prime organise une liste de règles Sigma dédiées. Ces algorithmes de détection développés par l’équipe SOC Prime et notre contributeur de contenu Threat Bounty, Nasreddine Bencherchali, peuvent être appliqués à travers les solutions SIEM, EDR, XDR et d’analytique de données de pointe. Toutes les règles Sigma sont alignées avec MITRE ATT&CK® cernant la tactique d’accès initial avec la technique d’exploitation d’application exposée au public (T1190) appliquée comme technique majeure.
Rejoignez les forces du développement de contenu participatif via le Programme Threat Bounty pour aider la communauté mondiale de défenseurs cyber à garder une longueur d’avance sur les attaquants. Rédigez vos propres règles Sigma étiquetées avec ATT&CK, faites-les publier sur la plateforme SOC Prime et gagnez de l’argent et de la reconnaissance de vos pairs de l’industrie.
Cliquez sur le bouton Explorer les détections pour accéder à la collection complète des nouvelles règles Sigma pour la détection des tentatives d’exploitation OWASSRF. Vous recherchez des métadonnées ? Explorez le contexte pertinent des menaces cyber, y compris les liens ATT&CK et CTI, les binaires exécutables, les atténuations et approfondissez pour plus de détails.
Analyse OWASSRF : Chaîne d’exploitation novatrice pour compromettre les serveurs Exchange pour l’exécution de code à distance
Un casse-tête majeur pour les praticiens de la sécurité pendant la période des fêtes a été découvert par les chercheurs de CrowdStrike. La récente enquête détaille une nouvelle méthode d’exploitation permettant aux adversaires de compromettre les serveurs Microsoft Exchange pour la RCE. Baptisée OWASSRF, la technique malveillante permet aux attaquants de contourner les atténuations de réécriture d’URL introduites par Microsoft pour ProxyNotShell et d’atteindre la RCE par élévation de privilèges via Outlook Web Access (OWA).
Initialement, OWASSRF a été observée lors de la recherche sur les campagnes de ransomware Play. Les adversaires s’appuyaient sur les serveurs Exchange affectés pour pénétrer le réseau ciblé. Les chercheurs ont soupçonné que les attaquants avaient exploité un typique ProxyNotShell de Microsoft Exchange (CVE-2022-41040, CVE-2022-41082). Cependant, les données de journal ne montraient aucun signe d’exploitation de CVE-2022-41040 pour l’accès initial. Au lieu de cela, les requêtes ont été repérées directement via le point de terminaison OWA, révélant une chaîne d’exploitation inconnue pour Exchange.
L’enquête a révélé que les attaquants s’appuyaient sur une autre vulnérabilité tout en utilisant la méthode OWASSRF. En particulier, les hackers ont exploité la CVE-2022-41080 permettant une élévation de privilèges à distance sur les serveurs Exchange. La faille a été signalée à Microsoft et corrigée en novembre 2022. Fait intéressant, cet écart de sécurité a été considéré comme critique mais non exploité dans la nature à ce moment-là.
Le 14 décembre 2022, le proof-of-concept (PoC) d’exploitation a été publié sur le web par le chercheur Dray Agha avec un autre kit d’outils offensifs. Selon CrowdStrike, ce PoC correspond à l’exploit utilisé dans les attaques de ransomware Play utilisé pour livrer des outils d’accès à distance tels que Plink et AnyDesk.
Selon le dernier rapport par Rapid7, les experts en sécurité observent un taux croissant de serveurs Microsoft Exchange compromis via la chaîne d’exploit OWASSRF, y compris les versions logicielles 2013, 2016 et 2018. Les chercheurs de Rapid7 notent que les serveurs Exchange adoptant les atténuations de Microsoft peuvent être affectés, tandis que les serveurs corrigés ne semblent pas vulnérables. Pour protéger leurs infrastructures en temps voulu, les organisations exposées sont invitées à tirer parti du correctif de Patch Tuesday du 8 novembre 2022 par Microsoft qui traite CVE-2022-41082. En cas d’impossibilité de correctif immédiat, il est recommandé aux fournisseurs de désactiver complètement OWA.
Comme mesures d’atténuation supplémentaires, les fournisseurs doivent suivre les recommandations de Microsoft pour désactiver PowerShell pour les utilisateurs sans privilèges d’administration, surveiller constamment leurs serveurs Exchange pour tout signe de compromis, appliquer des pare-feu d’applications web et adopter les meilleures pratiques de sécurité pour maintenir une hygiène cybernétique.
Restez informé des adversaires avec des capacités de défense proactive cyber à portée de main, incluant 700 règles Sigma pour les vulnérabilités existantes. Accédez instantanément à 120+ détections gratuitement ou équipez-vous entièrement à la demande sur https://my.socprime.com/pricing.