Play ransomware ha sido durante mucho tiempo una gran amenaza para las empresas y organizaciones, y los actores de amenazas detrás de él encuentran constantemente nuevas formas de infiltrarse y comprometer los sistemas. En un desarrollo reciente, la firma de seguridad cibernética CrowdStrike descubrió que los atacantes del ransomware Play están utilizando un nuevo exploit de Microsoft Exchange llamado OWASSRF para obtener acceso remoto a los servidores y entregar software malicioso.
El exploit permite a los actores de amenazas eludir las restricciones de reescritura de URL de ProxyNotShell y obtener la ejecución remota de código (RCE) en servidores vulnerables a través de Outlook Web Access (OWA). Para ejecutar comandos arbitrarios en servidores comprometidos, los operadores de ransomware usan Remote PowerShell para explotar la vulnerabilidad CVE-2022-41082.
Esta nueva cadena de explotación es particularmente preocupante porque se dirige al servidor de Microsoft Exchange, un componente crítico para muchas organizaciones. Este servidor administra la comunicación por correo electrónico dentro de una organización y un compromiso de este servidor puede tener consecuencias de largo alcance. Usando la cadena de exploits OWASSRF, los actores de amenazas detrás del ransomware Play pueden infiltrarse en la red de la víctima a través del servidor de Exchange, lo que podría obtener acceso a datos confidenciales e interrumpir las operaciones.
¿Cómo pueden las organizaciones protegerse de la cadena de exploits OWASSRF?
Microsoft calificó la vulnerabilidad CVE-2022-41082 como «crítica» porque permitía la escalada remota de privilegios en los servidores de Exchange. La compañía también declaró que no tenían evidencia de que el error fuera explotado en la naturaleza. Por lo tanto, fue difícil determinar si alguien explotó la falla como un día cero antes de que el parche estuviera disponible.
Para protegerse contra la cadena de exploits OWASSRF, Microsoft ha aconsejado a las organizaciones con servidores Exchange locales que apliquen al menos la actualización acumulativa de noviembre de 2022. Si esto no es posible, recomiendan desactivar OWA como medida de precaución.
Además, Microsoft desactivará de forma permanente la autenticación básica de Exchange Online a principios de enero de 2023 para proteger a sus clientes. “A partir de principios de enero, enviaremos mensajes del Centro de notificaciones a los inquilinos afectados aproximadamente 7 días antes de realizar el cambio de configuración para deshabilitar el uso de la autenticación básica para los protocolos que están dentro del alcance”, dijo la compañía.
