Rilevamento dell’Exploit OWASSRF: Nuovo Metodo di Exploit Sfrutta i Server Exchange per Eludere le Mitigazioni di ProxyNotShell (CVE-2022-41040 e CVE-2022-41082) e Ottenere RCE

Il 20 dicembre 2022, i ricercatori di cybersecurity hanno scoperto un nuovo metodo di exploit chiamato OWASSRF che coinvolge la concatenazione delle vulnerabilità CVE-2022-41080 e CVE-2022-41082 per ottenere esecuzione di codice remoto (RCE) attraverso l’elevazione dei privilegi tramite Outlook Web Access (OWA). OWASSRF è in grado di aggirare ProxyNotShell le mitigazioni. I difensori informatici sottolineano che questi attacchi in corso rappresentano una minaccia per un numero crescente di server Microsoft Exchange.

Rileva Tentativi di Sfruttamento OWASSRF

le vulnerabilità zero-day di Microsoft Exchange note come ProxyNotShell sono state attivamente sfruttate in natura da settembre 2022, facendo sì che i difensori informatici di tutto il mondo rimangano all’erta per il loro potenziale impatto. Con la scoperta di un nuovo metodo di exploit chiamato OWASSRF che sfrutta la concatenazione delle vulnerabilità CVE-2022-41080 e CVE-2022-41082 e aggira le mitigazioni Microsoft per ProxyNotShell, i difensori devono prepararsi a una nuova minaccia.

Per aiutare le organizzazioni globali a identificare tempestivamente potenziali compromissioni dei loro server Microsoft Exchange, la piattaforma SOC Prime cura un elenco di regole Sigma dedicate. Questi algoritmi di rilevamento sviluppati dal Team SOC Prime e dal nostro collaboratore di contenuti Threat Bounty, Nasreddine Bencherchali, possono essere applicati su soluzioni leader del settore SIEM, EDR, XDR e analisi dei dati. Tutte le regole Sigma sono allineate al MITRE ATT&CK® indirizzando la tattica di Accesso Iniziale con la tecnica Applicazione Pubblica di Exploit (T1190) applicata come tecnica principale.

Unisciti alle forze dello sviluppo di contenuti crowdsourced tramite il Threat Bounty Program per aiutare la comunità globale dei difensori informatici a stare un passo avanti agli attaccanti. Scrivi le tue regole Sigma etichettate con ATT&CK, pubblicale sulla piattaforma SOC Prime e guadagna sia denaro che riconoscimento dai tuoi colleghi del settore.

Fai clic sul pulsante Esplora Rilevamenti per accedere alla collezione completa delle recenti regole Sigma per il rilevamento dei tentativi di sfruttamento OWASSRF. Cerchi metadati? Esplora il contesto di minaccia informatica pertinente, inclusi collegamenti ATT&CK e CTI, binari eseguibili, mitigazioni e approfondisci per maggiori dettagli.

Esplora Rilevamenti

Analisi OWASSRF: Nuova Catena di Sfruttamento per Compromettere i Server Exchange per l’Esecuzione di Codice Remoto

Un grosso grattacapo per i praticanti della sicurezza durante la stagione festiva è stato scoperto dai ricercatori di CrowdStrike. La recente indagine descrive un nuovo metodo di sfruttamento che consente agli avversari di compromettere i server Microsoft Exchange per l’RCE. Chiamata OWASSRF, la tecnica dannosa consente agli attaccanti di aggirare le mitigazioni di riscrittura URL introdotte da Microsoft per ProxyNotShell e ottenere l’RCE tramite l’elevazione dei privilegi tramite Outlook Web Access (OWA).

Inizialmente, OWASSRF è stato osservato durante la ricerca delle campagne di ransomware Play. Gli avversari si sono avvalsi dei server Exchange compromessi per penetrare nella rete presa di mira. I ricercatori sospettavano che gli attaccanti avessero sfruttato un tipico Microsoft Exchange ProxyNotShell (CVE-2022-41040, CVE-2022-41082). Tuttavia, i dati di log non hanno mostrato segni che il CVE-2022-41040 fosse stato sfruttato per l’accesso iniziale. Invece, le richieste sono state individuate direttamente attraverso l’endpoint OWA, rivelando una catena di exploit sconosciuta per Exchange.

L’indagine ha rivelato che gli attaccanti si sono avvalsi di un’altra vulnerabilità mentre impiegavano il metodo OWASSRF. In particolare, gli hacker hanno sfruttato il CVE-2022-41080 che abilita l’elevazione dei privilegi remoti sui server Exchange. La falla è stata segnalata a Microsoft e risolta a novembre 2022. Curiosamente, questa lacuna di sicurezza era considerata critica ma non sfruttata in natura in quel momento.

Il 14 dicembre 2022, l’exploit proof-of-concept (PoC) è stato pubblicato sul web dal ricercatore Dray Agha insieme a un altro toolkit offensivo. Secondo CrowdStrike, questo PoC corrisponde all’exploit utilizzato negli attacchi ransomware Play impiegato per fornire strumenti di accesso remoto come Plink e AnyDesk.

Secondo l’ultimo rapporto di Rapid7, esperti di sicurezza stanno osservando un tasso crescente di server Microsoft Exchange compromessi tramite la catena di exploit OWASSRF, incluse le versioni software 2013, 2016 e 2018. I ricercatori Rapid7 notano che i server Exchange che utilizzano le mitigazioni di Microsoft possono essere colpiti, mentre i server patchati sembrano rimanere non vulnerabili. Per proteggere tempestivamente la propria infrastruttura, si esorta le organizzazioni esposte a sfruttare la patch di Microsoft dell’8 novembre 2022 Patch Tuesday affrontare CVE-2022-41082. Nel caso in cui l’applicazione immediata della patch non sia un’opzione, i fornitori sono raccomandati di disabilitare completamente OWA. addressing CVE-2022-41082. In case immediate patching is not an option, vendors are recommended to disable OWA completely.

Come misure di mitigazione aggiuntive, i fornitori dovrebbero seguire le raccomandazioni di Microsoft per disabilitare PowerShell per gli utenti senza privilegi di amministratore, monitorare costantemente i loro server Exchange per eventuali segni di compromissione, applicare firewall per applicazioni web e adottare le migliori pratiche di sicurezza per mantenere l’igiene informatica.

Rimanere al passo con gli avversari con capacità di difesa proattiva proprio a portata di mano, inclusi 700 regole Sigma per vulnerabilità esistenti. Raggiungi istantaneamente 120+ detections gratuitamente o ottieni completamente equipaggiato con On-Demand su https://my.socprime.com/pricing.