Ransomware gangs เจาะระบบเข้า server ผ่าน Microsoft Exchange

Play ransomware ใช้ช่องโหว่ใหม่ในการเจาะระบบ bypass ProxyNotShell URL rewrite mitigations เพื่อทำการ remote code execution ในการเข้าถึง Outlook  Web Access บริษัท Cybersecurity อย่าง CrowdStrike ตรวจพบการเจาะระบบที่ชื่อว่า OWASSRF ระหว่างที่ Play ransomware โจมตี ช่องโหว่ Microsoft Exchange servers เพื่อแทรกซึมเข้าระบบ Network ในการเรียกคำสั่งเพื่อเจาะเข้าระบบ ผู้ให้บริการ ransomware  ใช้งาน Remote Powershell ในการเจาะระบบ CVE-2022-41082  ซึ่งเป็น bug เดียวกันกับ ProxyNotShell. ในกรณีนี้ CrowdStrike ได้ตรวจสอบ log ที่เกี่ยวข้อง ครั้งแรก พบว่าไม่มีหลักฐานการเจาะระบบจาก CVE-2022-41040 สำหรับ” นักวิจัยกล่าว แต่ปรากฏว่ามีการร้องขอที่เกี่ยวข้องโดยตรงผ่าน  Outlook Web Application (OWA)

ซึ่งบ่งชี้ถึงวิธีการเจาะระบบ ที่ไม่เปิดเผยก่อนหน้านี้สำหรับ Exchange ในขณะที่ ProxyNotShell มีการเจาะระบบ CVE-2022-41040 CrowdStrike พบช่องโหว่ใหม่ซึ่ง น่าจะเป็น CVE-2022-41080 ไมโครซอฟท์ติดแท็กว่า เป็นช่องโหว่ด้านความปลอดภัยที่ร้ายแรง และไม่ถูกใช้อย่างกว้างขวาง ซึ่งอนุญาตให้มีการเพิ่มสิทธิ์พิเศษในการ remote บนเซิร์ฟเวอร์ Exchange ได้ CVE-2022-41080 ถูกพบและรายงาน zcgonvh with 360 noah lab และ rskvp93, Q5Ca, และ nxhoang99 โดย VcsLab of Viettel Cyber Security หนึ่งในนักวิจัย ผู้ซึ่งเจอ bug ได้กล่าวว่า มันสามารถเป็นการเจาะระบบที่เข้าถึงสาวนหนึ่งของ chane RCE Exchange on-premises, Exchange Online, Skype for Business Server (SFB Online+Teams) แต่ไม่สามารถ remote ไปยัง powershell endpoint ในขณะนี้ยังไม่ชัดเจนว่าผู้คุกคามใช้ห่วงโซ่การโจมตี Microsoft Exchange โดยเป็นการเจาะช่องโหว่แบบ Zero-day ก่อนการแก้ไขจะเผยแพร่หรือไม่ OWASSRF PoC exploit leaked online ในขณะที่นักวิจัยด้านความปลอดภัยของ CrowdStrike กำลังทำงานเพื่อพัฒนารหัสพิสูจน์แนวคิด (PoC) ของตนเองเพื่อให้ตรงกับข้อมูลบันทึกที่พบขณะตรวจสอบการโจมตี Play ransomeware ล่าสุดเหล่านี้ Dray Agha นักวิจัยด้านภัยคุกคาม Huntress Labs พบและแชร์เครื่องมือของผู้คุกคาม ทางออนไลน์เมื่อวันที่ 14 ธันวาคม