A Microsoft diz que operadores do ransomware de Cuba estão invadindo servidores Exchange sem correção contra uma vulnerabilidade crítica de falsificação de solicitação do lado do servidor (SSRF), também explorada em ataques de ransomware Play.
A provedora de computação em nuvem Rackspace confirmou recentemente que o ransomware Play usou uma exploração de dia zero chamada OWASSRF visando esse bug (CVE-2022-41080) para comprometer servidores Exchange sem patch em sua rede, após ignorar as mitigações de reescrita de URL ProxyNotShell.
De acordo com a Microsoft, a gangue do ransomware Play explora essa falha de segurança desde o final de novembro do ano passado. A empresa aconselha os clientes a priorizar o patch CVE-2022-41080 para bloquear possíveis ataques.
Redmond diz que essa vulnerabilidade SSRF também foi explorada desde ao menos 17 de novembro de 2022 por outro grupo de ameaças rastreado como DEV-0671 para hackear servidores Exchange e implantar cargas úteis do ransomware Cuba.
A Microsoft compartilhou essas informações em uma atualização de janeiro para um relatório privado de análise de ameaças visto pelo BleepingComputer e disponível para clientes com assinaturas do Microsoft 365 Defender, Microsoft Defender for Endpoint Plan 2 ou Microsoft Defender for Business.
Embora a Microsoft tenha lançado atualizações de segurança para lidar com essa vulnerabilidade do SSRF Exchange em 8 de novembro e tenha fornecido a alguns de seus clientes informações de que gangues de ransomware estão usando a falha, o comunicado ainda não foi atualizado para avisar que está sendo explorado em estado ativo.
Correção de servidores Exchange
A exploração OWASSRF detectada pelos pesquisadores de segurança da CrowdStrike na rede da Rackspaces também foi compartilhada online junto com algumas das outras ferramentas maliciosas do ransomware Play.
Isso tornará mais fácil para outros cibercriminosos adaptar as ferramentas do ransomware Play para seus próprios propósitos ou criar suas próprias explorações CVE-2022-41080 personalizadas, aumentando a urgência de corrigir a vulnerabilidade o mais rápido possível.
Na terça-feira, 10, a Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA também ordenou que as agências federais corrigissem seus sistemas contra esse bug até 31 de janeiro e instou fortemente todas as organizações a proteger seus servidores Exchange para impedir tentativas de exploração.
Veja isso
Exchange: 60 mil servidores expostos ao ProxyNotShell
Microsoft investiga novo zero day no Exchange Server
As organizações com servidores Exchange on premises em suas redes devem implantar as atualizações de segurança mais recentes do servidor de e-mail imediatamente —com novembro de 2022 como o nível mínimo de patch — ou desabilitar o Outlook Web Access (OWA) até que possam aplicar os patches CVE-2022-41080.
Ransomware global
O ransomware Cuba está por trás de mais de 100 ataques em todo o mundo. O FBI e a CISA revelaram em um comunicado de segurança conjunto emitido no mês passado que a gangue que opera o ransomware arrecadou mais de US$ 60 milhões em resgates até agosto de 2022.
Embora isso represente um quadro sombrio, as amostras enviadas pelas vítimas para a análise da plataforma ID-Ransomware mostram que a gangue não é muito ativa, provando que mesmo uma operação de ransomware um tanto inativa pode ter um grande impacto. Outro comunicado do FBI, de dezembro de 2021, alertou que o grupo de ransomware havia comprometido ao menos 49 organizações de setores críticos de infraestrutura dos EUA.
Apesar de não ser tão prolífico quanto o ransomware Cuba e tenha sido detectado pela primeira vez muito mais recentemente, em junho de 2022, o ransomware Play tem sido bastante ativo e já atingiu dezenas de vítimas em todo o mundo, incluindo a Rackspace, a cadeia hoteleira alemã H-Hotels, a cidade belga de Antuérpia e o Judiciário argentino de Córdoba.