A principios del mes de diciembre Rackspace fue atacado por PLAY ransomware , esto fue generado por un exploit de día cero conocido como OWASSRF que combina dos fallas de Exchange Server: CVE-2022-41080 y una falla de ProxyNotShell, CVE-2022-41082.
Ver boletín, Servidores Exchange siguen vulnerables a ProxyNotShell para más información de las vulnerabilidades mencionadas de Microsoft Exchange Server.
Ilustración 1: Noticia de la afectación a Rackspace
Rackspace
Es una empresa estadounidense de computación que se conforma como uno de los principales proveedores de conocimientos y servicios administrados para las principales tecnologías de nube privada y pública.
Ejecución del Ataque
Según reveló éste jueves Rackspace, los atacantes accedieron a algunos de los archivos Personal Storage Table (PST) de sus clientes, que pueden contener una amplia gama de información, incluyendo correos electrónicos, datos de calendario, contactos y tareas.
Rackspace, también confirmó que la operación de ransomware Play estaba detrás del ciberataque que hizo caer su entorno alojado de Microsoft Exchange en diciembre del 2022, en donde resultaron comprometidos casi 30.000 clientes en el entorno de correo electrónico Hosted Exchange.
El ataque se llevó a cabo a través del acceso por parte de los ciberactores a la tabla Tabla de Almacenamiento Personal ('PST') de 27 clientes Hosted Exchange.
Vector de Entrada
Ransomware Play ha estado usando activamente como vector de entrada común Microsoft Exchange. Aprovechando la cadena de explotación de ProxyNotShell, con solicitudes POST realizadas a través del punto final de OWA.
Ilustración 2: Diferencia entre ProxyNotShell y el nuevo método de explotación OWASSRF
Fuente: https://noticiasseguridad.com/
De acuerdo a lo anterior se observó que CrowdStrike Services en su investigación reveló que varias intrusiones de ransomware Play en las que se sospechaba que el vector de entrada común eran las vulnerabilidades de Microsoft Exchange ProxyNotShell CVE-2022-41040 y CVE-2022-41082. En cada caso, CrowdStrike revisó los registros relevantes y determinó que no había evidencia de explotación de CVE-2022-41040 para el acceso inicial. En cambio, parecía que las solicitudes correspondientes se realizaron directamente a través del punto final de la aplicación web de Outlook (OWA), lo que indica un método de explotación no revelado anteriormente para Exchange, que llamaron OWASSRF, que elude la regla personalizada que diseñó Microsoft dentro del servidor Microsoft IIS compatible con Exchange. el cual no toma en consideración las mitigaciones de reescritura de URL para el punto final Autodiscover proporcionadas por Microsoft en respuesta a ProxyNotShell.
PLAY Ransomware
Play es un grupo relativamente nuevo en la escena del ransomware. En junio de este año usuarios comenzaron a reportar en foros ataques a usuarios de habla inglesa y en Alemania.
Como todas las operaciones de ransomware, los actores de amenazas pondrán en peligro una red y cifran los dispositivos. Al cifrar archivos, el ransomware agrega la extensión .PLAY como se muestra a continuación.
Sin embargo, a diferencia de la mayoría de las operaciones de ransomware que dejan largas notas de rescate para generar graves amenazas a sus víctimas, las notas de rescate de Play son inusualmente simples. No menciona el monto del rescate exigido por los atacantes, si están dispuestos a desbloquear archivos de forma gratuita como demostración, cuáles son los métodos de pago aceptados, etc.
En cambio, la supuesta nota de rescate consiste simplemente en el nombre de la amenaza. - 'PLAY' y una dirección de correo electrónico - 'gyeceeidia7y@gmx.com' Los usuarios deben tener en cuenta que las diferentes versiones de Play Ransomware pueden usar diferentes correos electrónicos como canales de comunicación.
En lugar de crear notas de rescate en cada carpeta, la nota de rescate ReadMe.txt de Play solo se crea en la raíz de un disco duro (C:\) y simplemente contiene la palabra 'PLAY' y una dirección de correo electrónico de contacto.
Medidas de Mitigación
En un comienzo Microsoft se tomó su tiempo para lanzar los parches de estas vulnerabilidades en noviembre del 2022, durante el proceso proporcionó medidas de mitigación que evitaban la reescritura de la URL. Sin embargo, en diciembre, los investigadores de Crowdstrike descubrieron OWASSRF, una forma de eludir esa mitigación y que permite a los ciberactores autenticados realizar ejecución remota de código (RCE) a través de Outlook Web Access (OWA),y aprovechar AnyDesk y Plink para mantener el acceso.
En relación a lo anterior uno de los ciberactores que recientemente se descubrió usando ésta táctica fue Ransomware Play, que usa activamente la técnica para eludir las mitigaciones de reescritura de URL de ProxyNotShell y obtener la ejecución remota de código (RCE).
Entendiendo que las medidas de mitigación se pueden evitar , como solución definitiva solo se recomienda proceder al parchado de los productos afectados a la última versión disponible.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
El listado de las CVE se adjunta a continuación: