Play ransomware tem sido uma grande ameaça para empresas e organizações já há algum tempo, e os agentes de ameaças por trás dele estão constantemente encontrando novas maneiras de se infiltrar e comprometer os sistemas. Em um desenvolvimento recente, a empresa de segurança cibernética CrowdStrike descobriu que os agentes de ameaças do ransomware Play estão usando uma nova exploração do Microsoft Exchange chamada OWASSRF para obter acesso remoto a servidores e fornecer software malicioso.
A exploração permite que os agentes de ameaças ignorem as mitigações de reescrita de URL do ProxyNotShell e obtenham execução remota de código (RCE) em servidores vulneráveis por meio do Outlook Web Access (OWA). Para executar comandos arbitrários em servidores comprometidos, os operadores de ransomware utilizam o Remote PowerShell para abusar da vulnerabilidade CVE-2022-41082.
Essa nova cadeia de exploração é particularmente preocupante porque tem como alvo o servidor Microsoft Exchange, um componente crítico para muitas organizações. Este servidor gerencia as comunicações por e-mail dentro de uma organização, e um comprometimento desse servidor pode ter consequências de longo alcance. Usando a cadeia de exploração OWASSRF, os agentes de ameaças por trás do ransomware Play podem se infiltrar na rede da vítima por meio do servidor Exchange, permitindo que eles obtenham acesso a dados confidenciais e interrompam as operações.
Como as organizações podem se proteger da cadeia de exploração OWASSRF?
A Microsoft classificou a vulnerabilidade CVE-2022-41082 como “crítica” porque permitia escalonamento remoto de privilégios em servidores Exchange. A empresa também afirmou que não tinha evidências de que o bug estava sendo explorado na natureza. Portanto, era difícil determinar se alguém estava explorando a falha como um dia zero antes do patch ser disponibilizado.
Para se proteger contra a cadeia de exploração OWASSRF, a Microsoft aconselhou as organizações com servidores Exchange locais a aplicar pelo menos a atualização cumulativa de novembro de 2022. Se isso não for possível, eles recomendam desabilitar o OWA como medida de precaução.
Além disso, a Microsoft desativará permanentemente a autenticação básica do Exchange Online no início de janeiro de 2023 para proteger seus clientes. “A partir do início de janeiro, enviaremos postagens do Centro de Mensagens aos inquilinos afetados cerca de 7 dias antes de fazermos a alteração na configuração para desabilitar o uso de autenticação básica para protocolos em escopo”, disse a empresa.