Resumen:

Un grupo de la amenaza ha estado utilizando un nuevo exploit para vulnerar los servidores Microsoft Exchange.

 

Mejor conocido como Play ransomware, el grupo ha estado aprovechando la vulnerabilidad de ProxyNotShell (CVE-2022-41082) para ejecutar RCE en los dispositivos de sus víctimas.

 

Anteriormente, esta vulnerabilidad ya había sido clasificada como crítica, pero aún no había sido utilizada en ataques reales.

 

Los ciberdelincuentes explotan la vulnerabilidad como una cadena de ejecución remota de código Exchange on-premises, Exchange Online y Skype for Business Server.

 

De acuerdo con el análisis de Microsoft, los operadores detrás de la amenaza están empleando un método de explotación para Exchange nunca antes visto, ya que para ejecutar el RCE, primero lanzan una serie de solicitudes directamente al punto final de la aplicación web de Outlook (OWA).

 

Una vez comprometidos los servidores, los atacantes sueltan herramientas de acceso remoto como AnyDesk o Plink.

 

Dichas herramientas contienen ConnectWise, un software de administración remota que es empleado para tomar el control total del ordenador infectado.

 

Por ahora no se ha publicado mayor información sobre el ataque; sin embargo, se le insta a todas las organizaciones que ejecuten servidores Microsoft Exchange que apliquen la corrección para CVE-2022-41080 lo antes posible o descarguen las actualizaciones de seguridad para Exchange más recientes.

 

Esta operación fue lanzada desde hace casi seis meses y desde ese entonces decenas de empresas se han visto afectadas.

 

Entre las víctimas más recientes del ransomware Play se encuentra el Poder Judicial de Córdoba, la Ciudad Belga de Amberes y H-Hotels, informa BleepingComputer.

 

Recomendaciones: 

Se le insta a todos los administradores de Exchange que parcheen la vulnerabilidad de ProxyNotShell cuanto antes, en caso de que aún no lo hayan hecho.

 

Prácticas básicas para mitigar cualquier ataque de ciberseguridad 

Mantener los dispositivos actualizados 

Instalar los últimos parches disponibles 

Activar la autenticación multifactor 

Activar las reglas de firewall 

Guardar copias de seguridad 

 

Referencias:

https://heimdalsecurity.com/blog/new-microsoft-exchange-exploit-used-by-ransomware-gang-to-breach-servers/

https://thehackernews.com/2022/10/proxynotshell-new-proxy-hell.htm

 

 

Folio 377