Server Microsoft Exchange sfruttati con OWASSRF

 

 

Nel dicembre 2022, l’Incident Response Team di Telsy è stato chiamato a gestire un incidente di sicurezza informatica. L’analisi condotta ha rilevato l’esecuzione di un codice PowerShell che sfrutta una vulnerabilità in Microsoft Exchange.

Ulteriori indagini hanno allineato questi attacchi a ciò che CrowdStrike sta segnalando come “OWASSRF“, un concatenamento di CVE-2022-41080 e CVE-2022-41082 per aggirare le mitigazioni di riscrittura degli URL fornite da Microsoft per ProxyNotShell consentendo l’esecuzione del codice in modalità remota (RCE) tramite Outlook Web Access (OWA).

Dopo aver sfruttato queste vulnerabilità, nelle quali l’attaccante ha utilizzato una backdoor basata su PowerShell per eseguire comandi sul server Exchange, il threat actor ha creato un account amministratore locale e ha utilizzato living-off-the-land binaries (LOLBins) come parte dei suoi attacchi. Ad esempio, ha utilizzato Task Manager per eseguire il dump dei processi LSASS (Local Security Authority Server Service).

Durante la fase di discovery, l’attore raccoglie maggiori dettagli sull’ambiente AD. Abbiamo osservato che le query AD e l’attività di scansione per i sistemi remoti venivano eseguite da diversi strumenti, come Microsoft Nltest, SharpHound e GRB_NET.

Dopo questa fase, sono state rilevate attività di lateral movement con l’utilizzo di PsExec e la creazione di un’attività di Windows per garantire la persistenza attraverso l’esecuzione del malware SystemBC. SystemBC è un malware proxy che è stato utilizzato in vari attacchi ransomware.

In effetti, l’analisi ha rivelato che l’attore ha utilizzato elementi dell’infrastruttura di rete e strumenti già osservati in passati attacchi ransomware condotti da gruppi come BlackBasta, Hive e Play.

A questo link il Report completo

 

 

 

Telsy Cyber Threat Intelligence TeamVedi tutti gli articoli

Il team "Cyber Threat Intelligence" di Telsy è formato da professionisti con oltre dieci anni di esperienza nel campo della sicurezza informatica. Al suo interno ci sono figure professionali con diverse capacità, acquisite in contesti come Red Team, Cyber Threat Intelligence, Incident Response, Malware Analysis, Threat Hunting. Il principale obiettivo del Team è la raccolta e l'analisi di informazioni al fine di caratterizzare possibili minacce cyber, in relazione a contesti operativi specifici. Tale attività consente di avere una knowledgebase degli avversari comprensiva delle loro Tecniche Tattiche e Procedure (TTP), dei loro principali target nonché l'impatto che potrebbero avere sul business dei clienti Telsy.

Login

Benvenuto! Accedi al tuo account

Ricordami Hai perso la password?

Lost Password

My Agile Privacy
Questo sito utilizza cookie tecnici e di profilazione. Cliccando su accetta si autorizzano tutti i cookie di profilazione. Cliccando su rifiuta o la X si rifiutano tutti i cookie di profilazione. Cliccando su personalizza è possibile selezionare quali cookie di profilazione attivare. Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy.
Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy: