Microsoft Exchange: exploit usato per attacchi ransomware

Ha fatto capolino sulla scena delle minacce informatiche una nuova campagna ransomware che sta sfruttando un exploit di Microsoft Exchange, il quale bypassa le mitigazioni di riscrittura dell'URL di ProxyNotShell per procedere con l'esecuzione di codice remoto (RCE) su server vulnerabili tramite Outlook Web Access (OWA).

Microsoft Exchange: un nuovo exploit permette la diffusione di ransomware

A rendere nota la cosa è stata la società di sicurezza informatica CrowdStrike che ha individuato l’exploit mentre indagava relativamente agli attacchi del ransomware Play in cui i server di Microsoft Exchange compromessi sono stati sfruttati per infiltrarsi nelle reti delle vittime.

Per eseguire comandi arbitrari su server compromessi, i malintenzionati hanno adoperato Remote PowerShell, in modo tale da potersi servire della falla siglata come CVE-2022-41082, che è la stessa impiegata pure per ProxyNotShell.

Andando più nello specifico, mentre ProxyNotShell sfrutta la falla CVE-2022-41040, CrowdStrike ha comunicato che il difetto abusato dall'exploit appena scoperto è probabilmente CVE-2022-41080, un difetto di sicurezza che Microsoft ha contrassegnato come critico e non sfruttato in natura che consente l'escalation dei privilegi remoti sui server Exchange.

Uno dei ricercatori che ha trovato il bug ha informato che può essere usato come parte di una "catena di RCE Exchange on-premises, Exchange Online, Skype for Business Server (forse anche SFB Online+Teams ma non riesce a trovare il suo endpoint remoto powershell)".

Per evitare di incappare in eventuali minacce informatiche è sempre bene installare sui propri dispositivi un buon software antivirus, come nel caso di Norton 360 Premium che in questo momento viene proposto anche in forte sconto rispetto al prezzo d’origine.