Detecção de Exploit OWASSRF: Novo Método de Exploit Abusa de Servidores Exchange para Ignorar Mitigações ProxyNotShell (CVE-2022-41040 e CVE-2022-41082) e Obter RCE
Índice:
Em 20 de dezembro de 2022, pesquisadores de cibersegurança descobriram um método de exploração inovador chamado OWASSRF que envolve encadear as vulnerabilidades CVE-2022-41080 e CVE-2022-41082 para obter RCE através de escalonamento de privilégios via Outlook Web Access (OWA). OWASSRF é capaz de contornar mitigações do ProxyNotShell . Defensores cibernéticos destacam que esses ataques contínuos representam uma ameaça a um número crescente de servidores Microsoft Exchange.
Detectar Tentativas de Exploração OWASSRF
Vulnerabilidades zero-day do Microsoft Exchange conhecidas como mitigações do ProxyNotShell têm sido ativamente exploradas na natureza desde setembro de 2022, fazendo com que defensores cibernéticos de todo o mundo fiquem alertas para o seu impacto potencial. Com a descoberta de um novo método de exploração chamado OWASSRF, que aproveita o encadeamento das vulnerabilidades CVE-2022-41080 e CVE-2022-41082 e contorna as mitigações do Microsoft para o ProxyNotShell, os defensores devem se preparar para uma nova ameaça.
Para ajudar organizações globais a identificar possíveis comprometimentos de seus servidores Microsoft Exchange em tempo hábil, a plataforma SOC Prime organiza uma lista de regras Sigma dedicadas. Esses algoritmos de detecção, desenvolvidos pela equipe SOC Prime e nosso colaborador de conteúdo Threat Bounty, Nasreddine Bencherchali, podem ser aplicados em soluções líderes do setor, como SIEM, EDR, XDR e de análise de dados. Todas as regras Sigma estão alinhadas com MITRE ATT&CK® abordando a tática de Acesso Inicial com a técnica de Exploração de Aplicação Exposta Publicamente (T1190) aplicada como técnica principal.
Junte-se às forças de desenvolvimento de conteúdo colaborativo através do Threat Bounty Program para ajudar a comunidade global de defensores cibernéticos a se manter à frente dos atacantes. Escreva suas próprias regras Sigma marcadas com ATT&CK, publique-as na plataforma SOC Prime e ganhe dinheiro e reconhecimento de seus pares da indústria.
Clique no botão Explore Detections para acessar a coleção completa de regras Sigma recém-lançadas para a detecção de tentativas de exploração OWASSRF. Procurando metadados? Explore o contexto relevante da ameaça cibernética, incluindo links ATT&CK e CTI, binários executáveis, mitigações e aprofunde-se para mais detalhes.
Análise OWASSRF: Cadeia de Exploração Inovadora para Comprometer Servidores Exchange para Execução Remota de Código
Uma grande dor de cabeça para os profissionais de segurança durante a temporada de férias foi descoberta por pesquisadores da CrowdStrike. A recente investigação detalha um método de exploração inovador que permite que adversários comprometam servidores Microsoft Exchange para RCE. Chamado OWASSRF, a técnica maliciosa permite que atacantes contornem as mitigações de reescrita de URL introduzidas pela Microsoft para ProxyNotShell e alcancem RCE através de escalonamento de privilégios via Outlook Web Access (OWA).
Inicialmente, OWASSRF foi observado durante a pesquisa de campanhas de ransomware Play. Os adversários confiaram em servidores Exchange afetados para penetrar na rede alvo. Pesquisadores suspeitaram que os atacantes usaram um típico ProxyNotShell do Microsoft Exchange (CVE-2022-41040, CVE-2022-41082). No entanto, os dados de log não mostraram sinais de CVE-2022-41040 sendo explorado para o acesso inicial. Em vez disso, as solicitações foram identificadas diretamente através do endpoint OWA, revelando uma cadeia de exploração desconhecida para Exchange.
A investigação revelou que os atacantes confiaram em outra vulnerabilidade enquanto utilizavam o método OWASSRF. Particularmente, hackers exploraram o CVE-2022-41080, permitindo escalonamento remoto de privilégios em servidores Exchange. A falha foi relatada à Microsoft e corrigida em novembro de 2022. Curiosamente, essa falha de segurança foi considerada crítica, mas não explorada na natureza naquela época.
Em 14 de dezembro de 2022, o exploit de prova de conceito (PoC) foi postado na web pelo pesquisador Dray Agha, juntamente com outro kit de ferramentas ofensivo. De acordo com a CrowdStrike, esse PoC coincidiu com o exploit usado nos ataques de ransomware Play sendo utilizado para entregar ferramentas de acesso remoto como Plink e AnyDesk.
De acordo com o último relatório da Rapid7, especialistas em segurança estão observando uma taxa crescente de servidores Microsoft Exchange comprometidos via cadeia de exploração OWASSRF, incluindo versões de software 2013, 2016 e 2018. Pesquisadores da Rapid7 observam que servidores Exchange utilizando mitigações da Microsoft podem ser afetados, enquanto os servidores corrigidos parecem continuar não vulneráveis. Para proteger sua infraestrutura em tempo hábil, as organizações expostas são incentivadas a utilizar o Patch Tuesday de 8 de novembro de 2022 da Microsoft endereçando o CVE-2022-41082. Caso a correção imediata não seja uma opção, recomenda-se que os fornecedores desativem completamente o OWA.
Como medidas de mitigação adicionais, os fornecedores devem seguir as recomendações da Microsoft para desativar o PowerShell para usuários sem privilégios de administrador, monitorar constantemente seus servidores Exchange para quaisquer sinais de compromisso, aplicar firewalls de aplicativos web e adotar as melhores práticas de segurança para manter a higiene cibernética.
Mantenha-se a par dos adversários com capacidades de defesa cibernética proativas ao seu alcance, incluindo 700 regras Sigma para vulnerabilidades existentes. Alcance instantaneamente 120+ detections gratuitamente ou seja totalmente equipado com On-Demand em https://my.socprime.com/pricing.