Les auteurs de ransomwares utilisent une nouvelle chaîne d’exploitation qui inclut l’une des vulnérabilités ProxyNotShell pour exécuter du code à distance sur les serveurs Microsoft Exchange.
La chaîne d’exploitation ProxyNotShell utilisait CVE-2022-41040, une vulnérabilité SSRF dans le point de terminaison Autodiscover de Microsoft Exchange, tandis que cette nouvelle chaîne utilise CVE-2022-41080 pour réaliser une escalade des privilèges par le biais d’Outlook Web Access.
La chaîne d’exploitation – baptisée OWASSRF par les chercheurs de Crowdstrike – ne peut être évitée qu’en appliquant les correctifs pour Microsoft Exchange publiés en novembre 2022.
Les chercheurs ont repéré une exploitation sauvage de CVE-2022-41082 en enquêtant sur des intrusions de ransomware Play dont le vecteur d’entrée commun était Microsoft Exchange.
Entre-temps, Dray Agha, chercheur en menaces chez Huntress Labs, a réussi à se procurer des outils d’attaque via un dépôt ouvert, dont un script PoC exploitant une technique inconnue d’exploitation d’OWA et l’exploit CVE-2022-41082.
« Après l’accès initial via cette nouvelle méthode d’exploitation, l’acteur de la menace a utilisé des exécutables légitimes Plink et AnyDesk pour maintenir l’accès, et a utilisé des techniques anti-forensics sur le serveur Microsoft Exchange pour tenter de dissimuler son activité », concluent les chercheurs de Crowdstrike, qui fournissent des conseils supplémentaires pour atténuer le risque et détecter les signes d’exploitation.
