OWASSRFエクスプロイト検出:新しいエクスプロイト手法がExchangeサーバーを悪用し、ProxyNotShell(CVE-2022-41040およびCVE-2022-41082)の緩和策を回避しRCEを獲得

[post-views]
12月 22, 2022 · 8 分で読めます
OWASSRFエクスプロイト検出:新しいエクスプロイト手法がExchangeサーバーを悪用し、ProxyNotShell(CVE-2022-41040およびCVE-2022-41082)の緩和策を回避しRCEを獲得

2022年12月20日、サイバーセキュリティ研究者がCVSSRFと名付けられた新しいエクスプロイト方法を発見しました。この方法は、CVE-2022-41080とCVE-2022-41082の脆弱性をチェーンして、Outlook Web Access (OWA) を介した権限エスカレーションによるRCEを取得するものです。OWASSRFは ProxyNotShell の緩和策を回避することができます。サイバー防御者は、これらの攻撃が増加する数のMicrosoft Exchangeサーバーに脅威をもたらしていることを強調しています。

OWASSRFのエクスプロイト試行を検出

Microsoft Exchange のゼロデイ脆弱性として知られる ProxyNotShell は、2022年9月以降、現場で積極的に利用されており、世界中のサイバー防御者はその潜在的な影響に警戒しています。OWASSRFと呼ばれる新しいエクスプロイト方法の発見により、防御策を壊す脆弱性チェーンが発見され、サイバー防御者は新しい脅威に備える必要があります。

世界中の組織がMicrosoft Exchangeサーバーの潜在的な妥協を適時に特定するのを助けるため、SOC Prime Platformは専用のSigmaルールのリストをキュレートしています。これらの検出アルゴリズムは、SOC Prime Teamと我々のThreat Bountyコンテンツ貢献者の Nasreddine Bencherchaliによって開発され、業界をリードするSIEM、EDR、XDR、およびデータ分析ソリューションに適用できます。すべてのSigmaルールは MITRE ATT&CK® に一致し、主要な技術としてExploit Public-Facing Application (T1190)技術が適用されています。

クラウドソーシングされたコンテンツ開発の力に参加し、 Threat Bounty Program を通じて世界のサイバー防御者コミュニティが攻撃者に前もって対処できるよう支援してください。ATT&CKタグの付いた独自のSigmaルールを作成し、SOC Prime Platformに公開し、業界仲間からの認知と報酬を得ましょう。

検出を探す 」ボタンをクリックして、OWASSRFエクスプロイト試行の検出のための新しくリリースされたSigmaルールの完全なコレクションにアクセスしてください。メタデータを探していますか?関連するサイバー脅威のコンテキスト、ATT&CKおよびCTIリンク、実行可能バイナリ、緩和策、および詳細を知るための掘り下げ情報を探索してください。

検出を探す

OWASSRF解析: Exchange サーバーをリモートコード実行で妥協するための新しいエクスプロイト チェーン

ホリデーシーズンにセキュリティ プラクティショナーにとって大きな頭痛の種がCrowdStrikeリサーチャーによって明らかになりました。この最近の 調査 は、オフェンダーがMicrosoft ExchangeサーバーをRCEで妥協することを可能にする新しいエクスプロイト方法の詳細を明らかにしています。OWASSRFと名付けられた悪意のある技術により、攻撃者はProxyNotShell向けにMicrosoftが導入したURLリライトの緩和策を回避し、Outlook Web Access (OWA)を介した権限エスカレーションによってRCEを達成できるようになります。

最初にOWASSRFは、Playランサムウェアキャンペーンの調査中に観察されました。攻撃者は、標的のネットワークに侵入するために影響を受けたExchangeサーバーを利用しました。研究者は、攻撃者が一般的なMicrosoft Exchange ProxyNotShell (CVE-2022-41040, CVE-2022-41082)を利用したと考えていました。しかし、ログデータには初期アクセスのためにCVE-2022-41040がエクスプロイトされた兆候はありませんでした。代わりに、要求はOWAエンドポイントを通じて直接発見され、Exchangeのための未知のエクスプロイト チェーンを明らかにしました。

調査により、攻撃者がOWASSRF手法を利用する際に別の脆弱性を利用していることが明らかになりました。特に、ハッカーはCVE-2022-41080を利用し、Exchangeサーバーでのリモート権限エスカレーションを可能にしました。この欠陥はMicrosoftに報告され、2022年11月に修正されました。興味深いことに、このセキュリティ ギャップは重要と見なされましたが、当時は現場で悪用されていませんでした。

2022年12月14日に、Dray Agha研究者がウェブに証拠の概念(PoC)エクスプロイトを別の攻撃ツールキットとともに掲載しました。CrowdStrikeによると、このPoCはPlayランサムウェア攻撃で利用され、PlinkやAnyDeskなどのリモートアクセスツールを配信するために使用されたエクスプロイトと一致していました。

最新の レポート によると、Rapid7によると、Microsoft ExchangeサーバーがOWASSRFエクスプロイト チェーンを介して危険にさらされている率が増加していることが観察されています。これには、2013、2016、および2018年のソフトウェアバージョンが含まれます。Rapid7の研究者は、Microsoftの緩和策を利用しているExchangeサーバーも影響を受ける可能性があるが、修正されたサーバーは脆弱性がないと考えられています。インフラストラクチャを迅速に保護するために、露出した組織は、2022年11月8日の Patch Tuesday by Microsoft を活用してCVE-2022-41082に対処する必要があります。即時のパッチ適用ができない場合、ベンダーはOWAを完全に無効にすることが推奨されます。

追加の緩和策として、ベンダーはMicrosoftの推奨に従い、管理者権限のないユーザーのためにPowerShellを無効にし、妥協の兆候がないかExchangeサーバーを常に監視し、Webアプリケーションファイアウォールを適用し、サイバー衛生を確保するための最良のセキュリティプラクティスを採用すべきです。

既存の脆弱性に対する700のSigmaルールを含む積極的なサイバー防御能力を手に持ち、攻撃者に先んじましょう。すぐに 120+ detections に無料でアクセスするか、オンデマンドで完全装備を整えて、 https://my.socprime.com/pricing.

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。