Los actores de amenazas afiliados al grupo de ransomware Play, están aprovechando una cadena de explotación que elude las reglas de bloqueo para las fallas de ProxyNotShell en Microsoft Exchange Server, logrando así la ejecución remota de código (RCE) a través de Outlook Web Access (OWA).
«El nuevo método de explotación pasa por alto las mitigaciones de reescritura de URL para el punto final de detección automática», dijeron los investigadores de CrowdStrike Brian Pitchford, Erik Iker y Nicolas Zilio en un artículo técnico publicado el martes.
Se descubrió que el ransomware Play, que apareció por primera vez en junio de 2022, adopta muchas tácticas empleadas por otras familias de ransomware como Hive y Nokoyawa, la última de las cuales se actualizó a Rust en septiembre de este año.
Las investigaciones de la compañía de ciberseguridad sobre varias intrusiones de ransomware Play encontraron que el acceso inicial a los entornos de destino no se logró mediante la explotación directa de CVE-2022-41040, sino a través del punto final OWA.
Apodada OWASSRF, la técnica probablemente se aprovecha de otra falla crítica rastreada como CVE-2022-41080 (puntuación CVSS: 8.8) para lograr una escalada de privilegios, seguida por el abuso de CVE-2022-41082 para la ejecución remota de código.
