21 décembre 2022Ravie LakshmananSécurité des e-mails / Sécurité des données

Ms Exchange Proxynotshell Rce

Les acteurs de la menace affiliés à une souche de ransomware connue sous le nom de Play exploitent une chaîne d’exploitation inédite qui contourne les règles de blocage des failles ProxyNotShell dans Microsoft Exchange Server pour réaliser l’exécution de code à distance (RCE) via Outlook Web Access (OWA).

« La nouvelle méthode d’exploitation contourne les atténuations de réécriture d’URL pour le Point de terminaison de découverte automatique« , les chercheurs de CrowdStrike Brian Pitchford, Erik Iker et Nicolas Zilio m’a dit dans un article technique publié mardi.

Play ransomware, qui a fait surface pour la première fois en juin 2022, a été révélé adopter de nombreuses tactiques employées par d’autres familles de rançongiciels telles que Hive et Nokoyawadont le dernier mis à niveau vers Rust en septembre 2022.

La Cyber-Sécurité

Les enquêtes de la société de cybersécurité sur plusieurs intrusions de rançongiciels Play ont révélé que l’accès initial aux environnements cibles n’était pas obtenu en exploitant directement CVE-2022-41040mais plutôt via le point de terminaison OWA.

Publicité

Doublé OWASSRFla technique tire probablement parti d’un autre défaut critique suivi comme CVE-2022-41080 (score CVSS : 8,8) pour obtenir une élévation de privilèges, suivie d’abus CVE-2022-41082 pour l’exécution de code à distance.

Ms Exchange Proxynotshell Rce

Il convient de noter que CVE-2022-41040 et CVE-2022-41080 proviennent d’un cas de falsification de requête côté serveur (SSRF), qui permet à un attaquant d’accéder à des ressources internes non autorisées, en l’occurrence le Communication à distance PowerShell un service.

CrowdStrike a déclaré que l’accès initial réussi a permis à l’adversaire de supprimer les exécutables légitimes Plink et AnyDesk pour maintenir un accès persistant et de prendre des mesures pour purger les journaux d’événements Windows sur les serveurs infectés afin de dissimuler l’activité malveillante.

Les trois vulnérabilités ont été corrigées par Microsoft dans le cadre de ses mises à jour Patch Tuesday pour novembre 2022. Cependant, il n’est pas clair si CVE-2022-41080 a été activement exploité en tant que zero-day aux côtés de CVE-2022-41040 et CVE-2022-41082.

Le fabricant de Windows, pour sa part, a marqué CVE-2022-41080 avec une évaluation « Exploitation plus probable », ce qui implique qu’il est possible pour un attaquant de créer un code d’exploitation qui pourrait être utilisé pour armer de manière fiable la faille.

CrowdStrike a en outre noté qu’un script Python de preuve de concept (PoC) découvert et divulgué par le chercheur de Huntress Labs Dray Agha la semaine dernière pourrait avoir été utilisé par les acteurs du rançongiciel Play pour un accès initial.

En témoigne le fait que l’exécution du script Python a permis de « répliquer les logs générés lors des récentes attaques du ransomware Play ».

« Les organisations devraient appliquer les correctifs du 8 novembre 2022 pour Exchange afin d’empêcher l’exploitation, car les atténuations de réécriture d’URL pour ProxyNotShell ne sont pas efficaces contre cette méthode d’exploitation », ont déclaré les chercheurs.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentJolie série, Aikatsu ! Le concert croisé virtuel des franchises obtient des projections en salles – Actualités
Article suivantKT espère sécuriser les clients des entreprises et des gouvernements grâce à une plate-forme de conférence basée sur le métaverse
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici