CrowdStrike, a publié le 23 décembre les résultats de ses recherches sur une nouvelle méthode d’exploitation appelée OWASSRF, qui permet l’exécution de code à distance (RCE) via Outlook Web Access (OWA). L’entreprise a découvert cette méthode d’exploitation à la suite de plusieurs enquêtes sur des intrusions de ransomware PLAY.
La nouvelle méthode d’exploitation contourne les mesures d’atténuation de la réécriture d’URL pour le point de terminaison Autodiscover fournies par Microsoft en réponse à ProxyNotShell.
Après l’accès initial, l’attaquant utilise des exécutables légitimes Plink et AnyDesk pour maintenir l’accès, et utilise des techniques anti-forensics sur le serveur Microsoft Exchange pour tenter de dissimuler son activité.
Dans chaque cas, CrowdStrike a déterminé qu’il n’y avait aucune preuve d’exploitation de ProxyNotShell pour l’accès initial. Au lieu de cela, il est apparu que les demandes correspondantes ont été faites directement par le biais du point de terminaison OWA, ce qui indique une méthode d’exploitation de Microsoft Exchange non divulguée auparavant.
« Ces incidents sont une nouvelle preuve que les acteurs de la menace continuent à tirer parti des vulnérabilités de Microsoft Exchange et à innover pour déployer des ransomwares destructeurs » commente Thomas Etheridge, Chief Global Professional Services Officer CrowdStrike
Plus d’informations sur le blog de CrowdStrike.
