Mainkan aktor ransomware melewati mitigasi ProxyNotShell

image featured from : unsplash.com

Pelaku ransomware Play menggunakan metode eksploit baru untuk melewati mitigasi ProxyNotShell Microsoft dan mendapatkan akses awal ke server Exchange, menurut penelitian baru dari CrowdStrike.

ProxyNotShell terdiri dari dua kerentanan Microsoft Exchange Server yang dieksploitasi sebelum pengungkapan publik pada bulan September. Penyerang merantai cacat server-side-request forgery (SSRF), dilacak sebagai CVE-2022-41040, dan kerentanan eksekusi kode jarak jauh yang ditetapkan CVE-2022-41802 untuk mendapatkan akses ke sistem pengguna.

Sementara Microsoft merilis mitigasi penulisan ulang URL untuk titik akhir Autodiscover sebagai respons terhadap ProxyNotShell, pelaku ransomware Play menemukan solusinya. Sekarang Exchange mungkin berada di pusat gelombang serangan lain yang berpotensi signifikan.

Brian Pitchford, konsultan respons insiden CrowdStrike; Erik Iker, manajer layanan tanggap insiden; dan peneliti keamanan Nicolas Zilio merinci risiko baru bagi perusahaan dalam posting blog Selasa. Penelitian menunjukkan bagaimana operator di balik ransomware Play memanfaatkan CVE-2022-41080 dengan salah satu kelemahan ProxyNotShell, CVE-2022-41082, untuk mencapai eksekusi kode jarak jauh melalui Outlook Web Access (OWA). CrowdStrike menyebut metode eksploitasi “OWASSRF”.

“Penemuan ini merupakan bagian dari investigasi Layanan CrowdStrike baru-baru ini terhadap beberapa intrusi ransomware Play di mana vektor entri umum dipastikan adalah Microsoft Exchange,” tulis Pitchford, Ilker, dan Zilio dalam postingan blog. “Setelah akses awal melalui metode eksploitasi baru ini, pelaku ancaman memanfaatkan Plink yang sah dan AnyDesk yang dapat dieksekusi untuk mempertahankan akses, dan melakukan teknik anti-forensik di server Microsoft Exchange dalam upaya untuk menyembunyikan aktivitas mereka.”

Panduan kerentanan Microsoft mengklasifikasikan CVE-2022-41080 sebagai peningkatan hak istimewa Microsoft Exchange Server yang memerlukan kompleksitas serangan rendah tanpa interaksi pengguna. Karena CVE-2022-41080 berbagi peringkat sistem penilaian kerentanan umum yang sama dengan CVE-2022-41040 dan ditandai “lebih mungkin dieksploitasi” oleh Microsoft, CrowdStrike menilai dengan kemungkinan besar bahwa teknik baru tersebut terkait dengan cacat tersebut.

Selanjutnya, CrowdStrike mengonfirmasi bahwa CVE-2022-41080 tidak dieksploitasi untuk mendapatkan akses awal, tetapi digunakan bersama dengan kelemahan ProxyNotShell untuk melewati mitigasi Microsoft. Pada dasarnya, taktik baru menghilangkan kebutuhan untuk menggunakan titik akhir Autodiscover untuk mencapai layanan jarak jauh PowerShell. Saat menangani ProxyNotShell pada bulan September, Microsoft mengonfirmasi bahwa serangan yang berhasil memerlukan akses PowerShell

“Sebaliknya, tampaknya permintaan terkait dibuat langsung melalui titik akhir Aplikasi Web Outlook (OWA), menunjukkan metode eksploit yang sebelumnya dirahasiakan untuk Exchange,” tulis blog tersebut.

Para peneliti mengatakan Layanan CrowdStrike telah menyelidiki “beberapa intrusi ransomware Play” di mana teknik eksploitasi OWASSRF digunakan, meskipun sejauh ini tidak jelas berapa banyak serangan yang telah dilakukan. CrowdStrike mengatakan kepada TechTarget Editorial bahwa mereka tidak dapat mengungkapkan jumlah pastinya.

Dalam posting blog yang diterbitkan pada hari Rabu, Rapid7 mengatakan telah “menanggapi peningkatan jumlah kompromi server Microsoft Exchange” yang terhubung ke metode OWASSRF. Rapid7 mendesak pengguna untuk segera menginstal pembaruan Exchange terbaru dan memperingatkan mereka untuk tidak bergantung pada mitigasi penulisan ulang Microsoft, mencatat bahwa server yang ditambal tampaknya tidak rentan

Setelah menguji sistem yang ditambal dan tidak ditambal, CrowdStrike mendesak organisasi untuk menerapkan perbaikan Patch Selasa 8 November, bernama KB5019758, untuk sistem Exchange guna mencegah eksploitasi. Jika organisasi tidak dapat segera menambal, vendor merekomendasikan untuk menonaktifkan OWA seluruhnya.

Serangan terhadap Microsoft Exchange Server telah meningkat frekuensinya selama setahun terakhir karena kerentanan dieksploitasi oleh pelaku ancaman dan kelompok negara-bangsa China yang dikenal sebagai Hafnium, sebelum pengungkapan publik dalam beberapa kasus.

Awal bulan ini, Rackspace, penyedia cloud hosting, mengonfirmasi serangan ransomware pada 2 Desember yang menyebabkan gangguan pada layanan Microsoft Exchange yang dihostingnya. Dalam pembaruan yang diposting ke situs webnya pada 9 Desember, Rackspace mengatakan pihaknya melibatkan tim respons insiden CrowdStrike segera setelah serangan itu. Investigasi CrowdStrike mengonfirmasi bahwa insiden itu “hanya terbatas pada bisnis Email Pertukaran yang Dihosting”.

Sementara Rackspace mengonfirmasi insiden ransomware, penyedia cloud belum mengomentari detail serangan lainnya, termasuk vektor awal, jenis ransomware, dan apakah uang tebusan telah dibayarkan.

 

 

 

 

Milano – UKDW 2018

Related Articles

Trends

FoldiMate

image featured from : foldimate.store Mesin pelipat laundry atau robot pelipat laundry adalah mesin atau robot domestik yang melipat pakaian…
Server

Cara Install RKHunter di Server

RKHunter also known as RootKit Hunter is a scanning tool to ensure you for about 99.9% that you don’t have any rootkits, backdoors, and local exploits but running tests and e-mailing you results. (more…)

Be the first to comment

Leave a Reply

Your email address will not be published. Required fields are marked *

Popular Posts

Penggunaan DNS freedns.afraid.org untuk Blogspot
Menilai Harga Suatu Website
Mengukur Kebutuhan Kapasitas Hosting Website
Backup Cpanel via Remote FTP Server
Install Kloxo di Linux CentOS