Play ransomware fide çetesinin ProxyNotShell URL rewrite mitigate yöntemlerini atlatmanın bir yolunu bulduğu ve Outlook Web Access (OWA) üzerinden RCE yaparak sistemleri istismar ettiği belirlendi.
Siber güvenlik firması CrowdStrike, Play fidye yazılımının analizi yaparken bu yeni yöntemi fark ediyor ve bu yeni saldırı taktiğini OWASSRF olarak isimlendiriyor. CrowdStrike, ilgili logların incelendiği ve ilk erişim için CVE-2022-41040’ın kötüye kullanıldığına dair hiçbir kanıt olmadığını belirtti. Bunun yerine, ilgili isteklerin doğrudan Outlook Web Uygulaması (OWA) aracılığıyla yapıldığı ve bu da Exchange için daha önce açıklanmayan bir istismar yöntemini gösterdiğini söyledi. ProxyNotShell, CVE-2022-41040’tan yararlanırken , CrowdStrike, Microsoft’un kritik olarak etiketlediği ve Exchange sunucularında uzaktan ayrıcalık yükseltmeye izin veren güvenlik açığı olan CVE-2022-41080 olduğunu tespit etti.
Zafiyeti bulan araştırmacılardan biri, “şirket içi RCE Exchange, Exchange Online, Skype for Business Server (SFB Online+Teams) zincirinin bir parçası olarak istismar edilebileceğini” söyledi.
OWASSRF için PoC İddiası!
CrowdStrike güvenlik araştırmacıları, Play fidye yazılımı saldırıları için kendi kavram kanıtı (PoC) kodlarını geliştirmeye çalışırken, Huntress Labs araştırmacısı Dray Agha’ın Aralık ayında saldırganların araçlarını bulduğunu ve sızdırdığı belirtildi. Agha tarafından sızdırılan araçların, muhtemelen saldırılarda da kullanılan ConnectWise uzaktan yönetim yazılımını içeriyordu.
CrowdStrike, PoC’lerin zafiyet içeren sunuculara Plink ve AnyDesk gibi uzaktan erişim araçlarını yüklemek için kullanıldığını belirtiyor. On Premise Microsoft Exchange kullanan kuruluşların en son Exchange güvenlik güncellemelerini (Kasım 2022) uygulamaları veya CVE-2022-41080 yaması uygulanabilene kadar OWA’yı devre dışı bırakmaları öneriliyor.
Kaynak: bleepingcomputer.com