Play ransomware napada Microsoft Exchange servere
Sigurnosni istraživači kompanije CrowdStrike su otkrili da Play ransomware koristi novu metodu za iskorištavanje poznatih ranjivosti CVE-2022-41080 i CVE-2022-41082, odnosno NotProxyShell ranjivosti.
Ova ranjivost zaobilazi ProxyNotShell ispravak za ponovno pisanje URL-a, kako bi se postiglo daljinsko izvršenje kôda na ranjivim serverima preko Outlook Web pristupa. Ranjivost je nazvana OWASSRF i može se zaustaviti samo primjenom sigurnosnog ažuriranja za Microsoft Exchange iz novembra 2022. godine.
Nakon dobijanja pristupa serveru, zlonamjerni akteri koriste legalne aplikacije Plink, AnyDesk i ConnectWise kako bi zadržali pristup i onemogućili forenzičke tehnike pokušavajući da što duže sakriju svoje aktivnosti. Organizacije koje koriste lokalni Microsoft Exchange server bi trebalo da onemoguće Outlook Web Application (OWA) sve dok ne primjene sigurnosno ažuriranje za ranjivost CVE-2022-41080 ili da primjene posljednja dostupna ažuriranja za Exchange server sa tim da je ažuriranje iz novembra 2022. godine minimum.
Sigurnosni istraživači iz kompanije CrowdStrike su objavili detaljne informacije ovdje.