Nuevo método de explotación para MICROSOFT Exchange

21/12/2022

BOLETÍN NRO 2022-742

Recientemente investigadores de seguridad han descubierto un nuevo método de explotación denominado OWASSRF, para lograr la ejecución de código remoto (RCE) a través de Outlook Web Access (OWA).

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: CVE-2022-41040, CVE-2022-41080, CVE-2022-41082, CVE-2022-41123                                    Severidad:   ALTA

Esta nueva forma de explotación permite a los ciberdelincuentes eludir las medidas de rewrite URL implementadas para protegerse contra ProxyNotShell, una cadena de explotación conocida que emplea vulnerabilidades en el Autodiscover endpoint de Microsoft Exchange para acceder a servidores. 

Los investigadores de seguridad observaron varias intrusiones de ransomware Play y confirmaron que el vector de entrada común era Microsoft Exchange y descubrió que los ciberdelincuentes emplearon esta nueva forma de explotación para obtener el acceso inicial. Una vez que se obtuvo el acceso, los actores de amenazas emplearon herramientas legítimas como AnyDesk para mantener el acceso y en un intento de ocultar su actividad.

En el caso de una cadena tradicional de explotación de ProxyNotShell, la secuencia de ataque se realiza en dos pasos:

Primero el Autodiscover se accede al endpoint, utilizado para informar a los clientes sobre los servicios ofrecidos por el servidor remoto de Microsoft Exchange, mediante una solicitud autenticada al frontend. Se accede mediante un exploit de path confusion, CVE-2022-41040, que permite al atacante llegar al backend en busca de URL arbitrarias. Este tipo de vulnerabilidad se conoce como falsificación de solicitud del lado del servidor (SSRF). En el caso de ProxyNotShell, el servicio de back-end objetivo es el servicio Remote PowerShell. 

Una vez que se puede acceder al servicio remoto de PowerShell, el segundo paso consiste en explotar la vulnerabilidad CVE-2022-41082 para ejecutar comandos. Una entrada de registro típica que muestra el acceso al backend de PowerShell se detalla en los registros HTTP remotos de PowerShell, que se encuentran en C:\Program Files\Microsoft\Exchange Server\V15\Logging\CmdletInfra\Powershell-Proxy\Http\. 

Los investigadores de seguridad lograron replicaron el método de explotación en los sistemas de Exchange que no habían recibido el parche KB5019758 del 8 de noviembre de 2022, pero no pudieron replicar el ataque en los sistemas que habían recibido ese parche. Hubo dos (vulnerabilidades de escalada de privilegios corregidas en el parche.

ZDI ha revelado que el primero, CVE-2022-41123, es un secuestro de DLL 3 debido a la carga de un componente inexistente mediante un comando ejecutado con privilegios. El segundo, CVE-2022-41080, no se ha detallado públicamente, pero su puntuación CVSS de 8 la misma que CVE-2022-41040 utilizada en la cadena de explotación de ProxyNotShell, y se ha marcado como "exploitation more likely".

Según estos hallazgos, los investigadores de seguridad evaluaron que es muy probable que la técnica OWA empleada esté de hecho vinculado a CVE-2022-41080.

Indicadores de Compromiso

IP

179[.]60[.]149[.]28

URL

hxxp[:]//179[.]60[.]149[.]28[:]4427/

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:
• Se recomienda a las organizaciones que emplean servidores de Microsoft Exchange locales que apliquen las últimas actualizaciones de seguridad.

• Considerar deshabilitar PowerShell o monitorear su ejecución, evitando que pueda ser aprovechado por softwares maliciosos.
• Implementar filtrado y segmentación entre redes y utilizar principio de mínimo privilegios.
• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: New Exploit Method for Exchange Bypassing ProxyNotShell Mitigations
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​