Cyberthreat.id – Peneliti keamanan dari CrowdStrike mengungkapkan bahwa geng ransomware Play menggunakan rantai eksploit baru untuk melewati mitigasi penulisan ulang URL ProxyNotShell untuk mendapatkan eksekusi kode jarak jauh (RCE) pada server yang rentan melalui Outlook Web Access (OWA).

Taktik baru ini ditemukan tim peneliti saat menyelidiki serangan ransomware Play di mana server Microsoft Exchange yang disusupi digunakan untuk menyusup ke jaringan korban.

Dikutip dari Bleeping Computer, untuk menjalankan perintah sewenang-wenang pada server yang disusupi, operator ransomware memanfaatkan Remote PowerShell untuk menyalahgunakan CVE-2022-41082, bug yang sama yang dieksploitasi oleh ProxyNotShell.

“Tampaknya permintaan terkait dibuat langsung melalui titik akhir Aplikasi Web Outlook (OWA), menunjukkan metode eksploit yang sebelumnya dirahasiakan untuk Exchange,” kata CrowdStrike.

Sementara ProxyNotShell mengeksploitasi target CVE-2022-41040, CrowdStrike menemukan bahwa kelemahan yang disalahgunakan oleh eksploit yang baru ditemukan kemungkinan besar adalah CVE-2022-41080, sebuah kelemahan keamanan yang ditandai oleh Microsoft sebagai kritis dan tidak dieksploitasi secara liar yang memungkinkan eskalasi hak istimewa jarak jauh di server Exchange .

CVE-2022-41080 ditemukan dan dilaporkan oleh zcgonvh dengan 360 noah lab dan rskvp93, Q5Ca, dan nxhoang99 dengan VcsLab dari Viettel Cyber Security. Salah satu peneliti yang menemukan bug tersebut mengatakan bahwa bug tersebut dapat dieksploitasi sebagai bagian dari rantai serangan ke RCE Exchange di tempat, Exchange Online, Skype for Business Server (mungkin juga SFB Online+Teams, tetapi tidak dapat menemukan titik akhir jarak jauh PowerShellnya ).

Saat ini tidak jelas apakah pelaku ancaman menyalahgunakan rangkaian serangan Microsoft Exchange ini sebagai eksploitasi zero-day sebelum perbaikan dirilis.

Sementara peneliti keamanan CrowdStrike bekerja mengembangkan kode proof-of-concept (PoC) mereka sendiri untuk mencocokkan info log yang ditemukan saat menyelidiki serangan ransomware Play baru-baru ini, peneliti ancaman Huntress Labs Dray Agha menemukan dan membocorkan alat pelaku ancaman secara online, pada bulan Desember tanggal 14. Alat yang bocor tersebut berisi eksploitasi PoC untuk Play's Exchange, yang memungkinkan CrowdStrike mereplikasi aktivitas jahat yang dicatat dalam serangan ransomware Play.

“Kami percaya bahwa eksploitasi proof-of-concept digunakan untuk menjatuhkan alat akses jarak jauh seperti Plink dan AnyDesk di server yang disusupi,” kata CrowdStrike.

BleepingComputer juga menemukan bahwa perkakas yang dibocorkan oleh Agha berisi perangkat lunak administrasi jarak jauh ConnectWise, yang kemungkinan juga digunakan dalam serangan. Organisasi dengan server Microsoft Exchange lokal di jaringan mereka disarankan untuk menerapkan pembaruan keamanan Exchange terbaru (dengan November 2022 sebagai level patch minimum) atau nonaktifkan OWA hingga patch CVE-2022-41080 dapat diterapkan.

Sebagai informasi, pperasi Play Ransomware diluncurkan pada Juni 2022, ketika korban pertama mulai mencari bantuan untuk mengatasi dampak serangan di forum BleepingComputer. Sejak diluncurkan pada bulan Juni, puluhan korban ransomware Play telah mengunggah sampel atau catatan tebusan ke platform ID Ransomware untuk mengidentifikasi ransomware apa yang digunakan untuk mengenkripsi data mereka.

Tidak seperti kebanyakan operasi ransomware, afiliasi Play memberikan catatan tebusan sederhana dengan kata PLAY dan alamat email kontak. Saat ini, tidak ada kebocoran data yang terkait dengan ransomware ini atau indikasi apa pun bahwa data apa pun dicuri selama serangan. Korban baru-baru ini yang terkena afiliasi ransomware Play termasuk jaringan hotel Jerman H-Hotels, kota Antwerpen di Belgia, dan Pengadilan Córdoba di Argentina.