Server Microsoft Exchange sfruttati con OWASSRF
Abstract
Nel dicembre 2022, l’Incident Response Team di Telsy è stato chiamato a gestire un incidente di sicurezza informatica. L’analisi condotta ha rilevato l’esecuzione di un codice PowerShell che sfrutta una vulnerabilità in Microsoft Exchange.
Ulteriori indagini hanno allineato questi attacchi a ciò che CrowdStrike sta segnalando come “OWASSRF“, un concatenamento di CVE-2022-41080 e CVE-2022-41082 per aggirare le mitigazioni di riscrittura degli URL fornite da Microsoft per ProxyNotShell consentendo l’esecuzione del codice in modalità remota (RCE) tramite Outlook Web Access (OWA).
Dopo aver sfruttato queste vulnerabilità, nelle quali l’attaccante ha utilizzato una backdoor basata su PowerShell per eseguire comandi sul server Exchange, il threat actor ha creato un account amministratore locale e ha utilizzato living-off-the-land binaries (LOLBins) come parte dei suoi attacchi. Ad esempio, ha utilizzato Task Manager per eseguire il dump dei processi LSASS (Local Security Authority Server Service).
Durante la fase di discovery, l’attore raccoglie maggiori dettagli sull’ambiente AD. Abbiamo osservato che le query AD e l’attività di scansione per i sistemi remoti venivano eseguite da diversi strumenti, come Microsoft Nltest, SharpHound e GRB_NET.
Dopo questa fase, sono state rilevate attività di lateral movement con l’utilizzo di PsExec e la creazione di un’attività di Windows per garantire la persistenza attraverso l’esecuzione del malware SystemBC. SystemBC è un malware proxy che è stato utilizzato in vari attacchi ransomware.
In effetti, l’analisi ha rivelato che l’attore ha utilizzato elementi dell’infrastruttura di rete[1] e strumenti già osservati in passati attacchi ransomware condotti da gruppi come BlackBasta, Hive e Play.
[1] https://www.cisa.gov/uscert/ncas/alerts/aa22-321a
Compila il form per scaricare il report completo
[email-download download_id=”8424” contact_form_id=”4482”]
Leggi gli altri report cyber sul nostro blog.
Questo report è stato prodotto dal team “Cyber Threat Intelligence” di Telsy con l’aiuto della sua piattaforma CTI, che consente di analizzare e rimanere aggiornati su avversari e minacce che potrebbero avere un impatto sul business dei clienti.