استفاده هکرهای باج‌افزار Play از یک روش جدید برای دور زدن MS Exchange ProxyNotShell

عوامل تهدید وابسته به‌گونه‌ای باج‌افزاری به نام Play از یک زنجیره بهره‌برداری که قبلاً دیده نشده است استفاده می‌کنند که قوانین مسدود کردن نقص‌های ProxyNotShell را در Microsoft Exchange Server برای دستیابی به اجرای کد از راه دور (RCE) از طریق [۱]Outlook Web Access (OWA) دور می‌زند. Brian Pitchford، Erik Iker و Nicolas Zilio، محققین CrowdStrike، در یک گزارش فنی که روز سه‌شنبه ۲۰ دسامبر ۲۰۲۲ منتشر شد، دراین‌باره گفتند[۲]: «این روش جدید بهره‌برداری، بازدارنده‌های بازنویسی URL[3] را برای نقطه پایانی [۴]Autodiscover دور می‌زند. باج افزار Play که برای اولین بار در ژوئن ۲۰۲۲ ظاهر شد، نشان داده شده است[۵] که بسیاری از تاکتیک‌های به کار گرفته‌شده توسط سایر خانواده‌های باج افزاری مانند [۶]Hive و [۷]Nokoyawa را اتخاذ می‌کند، که دومی در سپتامبر ۲۰۲۲ به Rust ارتقا یافت[۸]. بررسی‌های یک شرکت امنیت سایبری در مورد چندین نفوذ باج‌افزار Play نشان داد که دسترسی اولیه به محیط‌های هدف با بهره‌برداری مستقیم از CVE-2022-41040[9] انجام نمی‌شود، بلکه از طریق نقطه پایانی OWA به دست می‌آید. این تکنیک که OWASSRF نامیده می‌شود، احتمالاً از نقص مهم دیگری که به‌عنوان [۱۰]CVE-2022-41080 (امتیاز ۸/۸ در مقیاس CVSS) ردیابی می‌شود، برای دستیابی به افزایش امتیاز، و به دنبال آن از [۱۱]CVE-2022-41082 برای اجرای کد از راه دور استفاده می‌کند. Play شایان‌ذکر است که هر دوی CVE-2022-41040 و CVE-2022-41080 از یک مورد جعل درخواست سمت سرور (SSRF[12]) ناشی می‌شوند که به مهاجم اجازه می‌دهد به منابع داخلی غیرمجاز، در این مورد به سرویس از راه دور PowerShell دسترسی پیدا کند[۱۳]. CrowdStrike گفت که دسترسی اولیه موفقیت‌آمیز به دشمن امکان می‌دهد تا فایل‌های اجرایی قانونی Plink و AnyDesk را حذف کند تا دسترسی دائمی را حفظ کند و همچنین اقداماتی را برای پاک‌سازی گزارش رویدادهای ویندوز در سرورهای آلوده انجام دهد تا فعالیت مخرب را پنهان کند. هر سه آسیب‌پذیری توسط مایکروسافت به‌عنوان بخشی از به‌روزرسانی‌های وصله‌های سه‌شنبه‌ها برای نوامبر ۲۰۲۲ برطرف شد[۱۴]. بااین‌حال، مشخص نیست که آیا CVE-2022-41080 به‌عنوان یک نقص روز صفر در کنار CVE-2022-41040 و CVE-2022-41082 مورد بهره‌برداری قرار گرفته است یا خیر. سازنده ویندوز به‌نوبه خود، CVE-2022-41080 را با ارزیابی “احتمال بیشتر بهره‌برداری” برچسب‌گذاری کرده است، به این معنی که مهاجم ممکن است یک کد بهره‌بردار ایجاد کند که بتواند به‌طور قابل‌اعتمادی از این نقص استفاده کند. CrowdStrike همچنین خاطرنشان کرد که یک اسکریپت اثبات ادعای (PoC) پایتون که هفته گذشته توسط Dray Agha محقق آزمایشگاه Huntress کشف[۱۵] و افشا شد، ممکن است توسط بازیگران باج‌افزار Play برای دسترسی اولیه مورداستفاده قرار گرفته‌شده باشد. این موضوع گواه این واقعیت است که اجرای اسکریپت پایتون “تکثیر گزارش‌های تولیدشده در حملات اخیر باج افزار Play” را امکان‌پذیر کرد. محققان دراین‌باره می‌گویند: «سازمان‌ها باید وصله‌های ۸ نوامبر ۲۰۲۲ را برای Exchange اعمال کنند تا از بهره‌برداری جلوگیری کنند، زیرا بازدارنده‌های بازنویسی URL برای ProxyNotShell در برابر این روش بهره‌برداری مؤثر نیستند». به‌روزرسانی شرکت امنیت سایبری Rapid7، در گزارش مربوطه در روز چهارشنبه ۲۱ دسامبر ۲۰۲۲، اعلام کرد که از طریق زنجیره بهره‌برداری OWASSRF فوق‌العاده برای اجرای کد از راه دور، “افزایشی در تعداد آسیب‌پذیری‌های سرور Microsoft Exchange” مشاهده کرده است. Glenn Thorpe، محقق Rapid7، خاطرنشان کرد[۱۶]: «سرورهای وصله شده آسیب‌پذیر به نظر نمی‌رسند، سرورهایی که فقط از بازدارنده‌های مایکروسافت استفاده می‌کنند آسیب‌پذیر به نظر می‌رسند». بازیگران تهدید از این موضوع برای استقرار باج افزار استفاده می‌کنند. سخنگوی مایکروسافت در بیانیه‌ای که با The Hacker News به اشتراک گذاشته شد، گفت: «روش گزارش‌شده از سیستم‌های آسیب‌پذیری که آخرین به‌روزرسانی‌های امنیتی ما را اعمال نکرده‌اند بهره‌برداری می‌کند» و افزود: «مشتریان باید نصب آخرین به‌روزرسانی‌ها، به‌ویژه به‌روزرسانی‌های نوامبر ۲۰۲۲ برای [۱۷]Exchange Server را در اولویت قرار دهند». از علاقه‌مندان به این حوزه دعوت می شود مقالات خود را به وبسایت این مجله ارسال نمایند.