Les acteurs de la menace affiliés à une souche de ransomware connue sous le nom de Play exploitent une chaîne d’exploitation inédite qui contourne les règles de blocage des failles ProxyNotShell dans Microsoft Exchange Server pour réaliser l’exécution de code à distance (RCE) via Outlook Web Access (OWA).

« La nouvelle méthode d’exploitation contourne les atténuations de réécriture d’URL pour le point de terminaison Autodiscover », ont déclaré les chercheurs de CrowdStrike Brian Pitchford, Erik Iker et Nicolas Zilio dans un article technique publié mardi.

Play ransomware, qui a fait surface pour la première fois en juin 2022, s’est révélé adopter de nombreuses tactiques employées par d’autres familles de ransomwares telles que Hive et Nokoyawa, cette dernière ayant été mise à niveau vers Rust en septembre 2022.

Les enquêtes de la société de cybersécurité sur plusieurs intrusions de rançongiciels Play ont révélé que l’accès initial aux environnements cibles n’a pas été obtenu en exploitant directement CVE-2022-41040, mais plutôt via le point de terminaison OWA.

Surnommée OWASSRF, la technique tire probablement parti d’une autre faille critique identifiée comme CVE-2022-41080 (score CVSS : 8,8) pour obtenir une élévation des privilèges, suivie d’un abus de CVE-2022-41082 pour l’exécution de code à distance.

Il convient de noter que CVE-2022-41040 et CVE-2022-41080 proviennent d’un cas de falsification de requête côté serveur (SSRF), qui permet à un attaquant d’accéder à des ressources internes non autorisées, dans ce cas le service de communication à distance PowerShell.

CrowdStrike a déclaré que l’accès initial réussi a permis à l’adversaire de supprimer les exécutables légitimes Plink et AnyDesk pour maintenir un accès persistant et de prendre des mesures pour purger les journaux d’événements Windows sur les serveurs infectés afin de dissimuler l’activité malveillante.

Les trois vulnérabilités ont été corrigées par Microsoft dans le cadre de ses mises à jour Patch Tuesday pour novembre 2022. Cependant, il n’est pas clair si CVE-2022-41080 a été activement exploité en tant que zero-day aux côtés de CVE-2022-41040 et CVE-2022-41082.

Le fabricant de Windows, pour sa part, a marqué CVE-2022-41080 avec une évaluation « Exploitation plus probable », ce qui implique qu’il est possible pour un attaquant de créer un code d’exploitation qui pourrait être utilisé pour armer de manière fiable la faille.

CrowdStrike a en outre noté qu’un script Python de preuve de concept (PoC) découvert et divulgué par le chercheur de Huntress Labs Dray Agha la semaine dernière pourrait avoir été utilisé par les acteurs du rançongiciel Play pour un accès initial.

En témoigne le fait que l’exécution du script Python a permis de « répliquer les logs générés lors des récentes attaques du ransomware Play ».

« Les organisations devraient appliquer les correctifs du 8 novembre 2022 pour Exchange afin d’empêcher l’exploitation, car les atténuations de réécriture d’URL pour ProxyNotShell ne sont pas efficaces contre cette méthode d’exploitation », ont déclaré les chercheurs.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *