Chuỗi khai thác ProxyNotShell đã sử dụng lỗ hổng có số hiệu CVE-2022-41040, một lỗ hổng cho phép tấn công yêu cầu giả mạo từ phía máy chủ (Server Side Request Forgery - SSRF) trên điểm cuối Autodiscover (tự động phát hiện) của Microsoft Exchange. Chuỗi khai thác mới này lợi dụng lỗ hổng CVE-2022-41080 để leo thang đặc quyền thông qua Outlook Web Access (OWA).
Các nhà nghiên cứu Crowdstrike đặt tên chuỗi khai thác là OWASSRF và cho biết chỉ có thể ngăn chặn bằng cách cập nhật các bản vá mà Microsoft Exchange đã phát hành vào tháng 11/2022.
Các nhà nghiên cứu cho biết, việc giảm thiểu bằng cách viết lại URL cho ProxyNotShell mà Microsoft đã chia sẻ trước khi các bản vá được phát hành là không có hiệu quả đối với những khai thác này đồng thời kêu gọi các tổ chức không nên áp dụng bản vá để tạm thời vô hiệu hóa OWA.
Manh mối dẫn đến CVE-2022-41080
Các nhà nghiên cứu đã phát hiện ra việc khai thác CVE-2022-41082 ngoài môi trường khi điều tra các cuộc xâm nhập của ransomware Play. Họ cho rằng những kẻ tấn công có thể đã lợi dụng chuỗi khai thác ProxyNotShell, nhưng lại không tìm thấy bằng chứng nào về việc khai thác CVE-2022-41040. Thay vào đó, họ nhận thấy các yêu cầu tự kiểm tra khi bật nguồn (Power On Self Test - POST) được thực hiện thông qua điểm cuối OWA.
Trong khi đó, Dray Agha, nhà nghiên cứu mối đe dọa của Huntress Labs đã sử dụng luôn các công cụ tấn công trên một kho lưu trữ mở, trong số đó có một tập lệnh PoC sử dụng kỹ thuật khai thác OWA chưa từng được biết đến và khai thác lỗ hổng CVE-2022-41082.
Các nhà nghiên cứu của CrowdStrike đã triển khai thành công khai thác OWASSRF đối với các hệ thống Exchange chưa được vá lỗi, nhưng không thể tái tạo cuộc tấn công trên các hệ thống đã được vá. Và kể từ khi bản vá KB5019758 hồi tháng 11 sửa một lỗ hổng chiếm quyền điều khiển DLL và lỗ hổng CVE-2022-41040 được cho là “có nhiều khả năng bị khai thác hơn”, các nhà nghiên cứu cho rằng “rất có thể kỹ thuật OWA được sử dụng trên thực tế có liên quan đến CVE-2022-41080.”
CVE-2022-41080 là một trong hai lỗ hổng được 4 nhà nghiên cứu từ 360 Noah Lab và VcsLab của Viettel Cyber Security liên kết lại để thực thi mã từ xa (RCE) trên các phần mềm lưu trữ tại chỗ Exchange, Exchange Online và Skype cho máy chủ doanh nghiệp (Business Server). Họ đã báo cáo lỗ hổng này tới Microsoft và công ty đã sửa lỗi CVE-2022-41080 vào tháng 11 cùng một lỗi khác vào tháng 12.
Theo các nhà nghiên cứu của Crowdstrike: “Sau khi truy nhập lần đầu thông qua phương pháp khai thác mới này, tác nhân đe dọa đã tận dụng những tệp thực thi Plink và AnyDesk hợp pháp để duy trì quyền truy nhập và thực hiện các kỹ thuật chống điều tra kỹ thuật số (anti-forensics) trên máy chủ Microsoft Exchange nhằm che giấu hoạt động của chúng”.
Rapid7 đã phát hiện sự gia tăng số lượng máy chủ Microsoft Exchange bị xâm phạm thông qua chuỗi khai thác này và đã cung cấp các chỉ số về sự xâm phạm liên quan đến chiến dịch./.