Ransomware Play : un nouvel exploit utilisé pour compromettre les serveurs Exchange !
Actuellement, les cybercriminels du groupe ransomware Play effectuent des attaques informatiques à destination des entreprises équipées d'un serveur Microsoft Exchange. Pour compromettre le serveur, les pirates utilisent un nouvel exploit surnommé OWASSRF et lié à une faille de sécurité corrigée en novembre 2022 par Microsoft. Voici ce qu'il faut savoir.
L'entreprise CrowdStrike, spécialisée dans la cybersécurité, a mené des investigations sur des attaques réalisées par le groupe ransomware Play où le serveur Exchange a été compromis et utilisé pour accéder à l'infrastructure cible. Résultat, ils ont fait la découverte de cet exploit qu'ils ont appelés OWASSRF et qui consiste à exploiter la faille CVE-2022-41082 via Remote PowerShell. Il s'agit de la même vulnérabilité exploitée avec les attaques ProxyNotShell.
Avec ProxyNotShell, il fallait exploiter la vulnérabilité CVE-2022-41040 pour exploiter ensuite la CVE-2022-41082. Avec l'exploit OWASSRF, c'est différent comme l'explique CrowdStrike dans son rapport : "Dans chaque cas, CrowdStrike a examiné les journaux pertinents et a déterminé qu'il n'y avait aucune preuve d'exploitation de CVE-2022-41040 pour l'accès initial." - Il s'avère que les pirates ont exploités une autre vulnérabilité, plus récente, pour s'en prendre aux serveurs Exchange : la CVE-2022-41080 ! D'après Microsoft, il s'agit d'une faille critique mais qui n'était pas exploitée dans le cadre d'attaques. Sauf que désormais, c'est bien le cas.
Dans le cadre de leurs travaux, les chercheurs de chez CrowdStrike ont souhaité reproduire le même exploit PoC que les pirates du groupe ransomware Play. Toutefois, ils ont pu s'appuyer directement sur les informations publiées par Dray Agha, un chercheur chez Huntress Labs, qui a partagé des informations à ce sujet via Twitter. Au final, ce nouvel exploit serait utilisé par les pirates pour déployer des outils de prise en main à distance comme Plink et AnyDesk sur les serveurs compromis.
Se protéger de l'exploit OWASSRF
Pour se protéger contre ce nouvel exploit, vous devez mettre à jour votre serveur Microsoft Exchange : il doit disposer au minimum des mises à jour de novembre 2022 pour que la vulnérabilité CVE-2022-41080 soit patchée. En attendant de vous protéger, vous devez désactiver l'accès à OWA car c'est le point d'entré utilisé par les attaquants pour cibler les serveurs de messagerie. La faille de sécurité CVE-2022-41080 affecte les serveurs Exchange Server 2013, Exchange Server 2016 et Exchange Server 2019.
Lancé en juin 2022, le groupe Ransomware Play est particulièrement actif, alors n'attendez pas pour vous protéger ! D'ailleurs, il y a quelques jours, c'est le groupe hôtelier allemand H-Hotels qui a fait les frais de ces cybercriminels...
Hello Florian, je cherche mais pour désactiver owa définitivement, je ne trouve pas. Je trouve uniquement pour désactiver boîtes par boîtes ….
Une idée ?
Hello,
Sinon, tu peux couper les accès externes sur l’OWA au niveau de ton pare-feu, voire même poser des restrictions dans la configuration du IIS du serveur Exchange.
Merci Florian, je pense mettre en place les mêmes restrictions que ce que tu nous proposes dans ton tuto pour sécuriser l’exchange et autoriser l’OWA uniquement depuis le LAN en espérant que cela suffise en attendant un patch (mon serveur est à jour, crowdsec est présent) merci encore pour ton travaillé qui nous sert chaque jour.
M. Floran,
Merci pour la veille technologique que tu fais pour le bonheur des IT. On fera le nécessaire avant que les pactchs soient disponibles.