Play ransomware ha sido durante mucho tiempo una seria amenaza para las empresas y organizaciones, y los actores de amenazas detrás de él encuentran constantemente nuevas formas de infiltrarse y comprometer los sistemas. En un desarrollo reciente, la firma de seguridad cibernética CrowdStrike descubierto que los actores de la amenaza del ransomware Play están utilizando un nuevo exploit de Microsoft Exchange llamado OWASSRF para obtener acceso remoto a los servidores y entregar software malicioso.
El exploit permite a los actores de amenazas eludir las mitigaciones de reescritura de URL de ProxyNotShell y lograr la ejecución remota de código (RCE) en servidores vulnerables a través de Outlook Web Access (OWA). Para ejecutar comandos arbitrarios en servidores comprometidos, los operadores de ransomware explotan Remote PowerShell para abusar de la vulnerabilidad CVE-2022-41082.
Esta nueva cadena de explotación es motivo de especial preocupación porque se dirige al servidor de Microsoft Exchange, un componente crítico para muchas organizaciones. Este servidor maneja las comunicaciones por correo electrónico dentro de una organización y un compromiso de este servidor puede tener consecuencias de largo alcance. Usando la cadena de exploits OWASSRF, los actores de amenazas detrás del ransomware Play pueden infiltrarse en la red de la víctima a través del servidor de Exchange, permitiéndoles potencialmente obtener acceso a datos confidenciales e interrumpir las operaciones.
¿Cómo pueden las organizaciones protegerse de la cadena de exploits OWASSRF?
Microsoft calificó la vulnerabilidad CVE-2022-41082 como “crítica” porque permitía la escalada remota de privilegios en los servidores de Exchange. La compañía también dijo que no tiene evidencia de que el error haya sido explotado en la naturaleza. Por lo tanto, fue difícil determinar si alguien había explotado la falla como un día cero antes de que el parche estuviera disponible.
Para protegerse contra la cadena de exploits OWASSRF, Microsoft ha recomendado que las organizaciones con servidores Exchange locales apliquen al menos la actualización acumulativa de noviembre de 2022. Si esto no es posible, recomiendan deshabilitar OWA como medida de precaución.
Además, Microsoft desactivará de forma permanente la autenticación básica de Exchange Online a principios de enero de 2023 para proteger a nuestros clientes. “A partir de principios de enero, enviaremos publicaciones del Centro de mensajes a los inquilinos afectados aproximadamente 7 días antes de realizar el cambio de configuración para deshabilitar el uso de la autenticación básica para los protocolos en el alcance”, dijo la compañía.