Kẻ xấu đứng sau ransomware Play đang sử dụng một chuỗi khai thác mới nhằm qua mặt các biện pháp giảm thiểu tấn công UR rewrite ProxyNotShell, từ đó thực thi mã từ xa (RCE) trên các máy chủ thông qua Outlook Web Access (OWA).
Công ty an ninh mạng CrowdStrike đã phát hiện ra phương thức khai thác (được đặt tên là OWASSRF) khi điều tra các cuộc tấn công bằng mã độc tống tiền Play. Trong đó, các máy chủ Microsoft Exchange bị xâm nhập được sử dụng để giành quyền truy cập vào mạng mục tiêu.
Để thực thi các lệnh tùy ý trên các máy chủ bị xâm nhập, hacker sử dụng Remote PowerShell để khai thác lỗ hổng CVE-2022-41082. Đây cũng là lỗ hổng được sử dụng trong các cuộc tấn công ProxyNotShell.
Các nhà nghiên cứu cho biết: “CrowdStrike đã xem xét các log liên quan và xác định rằng không có bằng chứng về việc khai thác lỗ hổng CVE-2022-41040 để giành quyền truy cập ban đầu”.
“Có vẻ như các truy vấn đã được thực hiện trực tiếp thông qua Ứng dụng web Outlook (OWA), có nghĩa là có một phương pháp khai thác Exchange chưa từng được biết đến “.
Trong khi ProxyNotShell khai thác CVE-2022-41040, CrowdStrike nhận thấy lỗ hổng bị khai thác trong chiến dịch mới có khả năng là CVE-2022-41080. Đây là một lỗ hổng bảo mật được Microsoft gắn thẻ ‘nghiêm trọng’ và cho phép leo thang đặc quyền từ xa trên các máy chủ Exchange.
CVE-2022-41080 được phát hiện bởi zcgonvh của 360 noah lab cùng với rskvp93, Q5Ca, và nxhoang99 của Viettel Cyber Security.
Tại thời điểm này, vẫn chưa rõ liệu kẻ xấu có lợi dụng chuỗi tấn công Microsoft Exchange này từ trước khi các bản sửa lỗi được phát hành hay không.
Trong khi các nhà nghiên cứu của CrowdStrike đang phát triển mã PoC ngày 14/12 nhà nghiên cứu Dray Agha của Huntress Labs đã tìm thấy và tung công cụ của kẻ xấu lên mạng.
Công cụ bị rò rỉ cho phép CrowdStrike sao chép hoạt động độc hại được ghi lại trong các cuộc tấn công của mã độc tống tiền Play.
CrowdStrike tin rằng mã POC đã được sử dụng để thả các công cụ truy cập từ xa như Plink và AnyDesk trên các máy chủ bị xâm nhập.
BleepingComputer cũng phát hiện ra rằng công cụ bị rò rỉ bởi Agha có chứa phần mềm quản trị từ xa ConnectWise, phần mềm này cũng có khả năng được triển khai trong các cuộc tấn công.
Các tổ chức có máy chủ Microsoft Exchange nên áp dụng các bản cập nhật bảo mật mới nhất hoặc tắt OWA cho đến khi có thể áp dụng bản vá cho lỗ hổng CVE-2022-41080.
Kể từ khi ransomware Play xuất hiện vào tháng 6/2022, hàng chục nạn nhân đã tải các mẫu hoặc ghi chú đòi tiền chuộc lên nền tảng ID Ransomware để nhờ xác định loại phần mềm tống tiền đã mã hóa dữ liệu của họ.