Microsoft: OWASSRF の欠陥を介して Exchange サーバーをハッキングするキューバのランサムウェア

マイクロソフトは、キューバのランサムウェア攻撃者が、Play ランサムウェア攻撃でも悪用された重大なサーバー側リクエストフォージェリ (SSRF) の脆弱性に対するパッチが適用されていない Microsoft Exchange サーバーをハッキングしていると述べています。

クラウドコンピューティングプロバイダーの Rackspace は最近、Play ランサムウェアが、このバグ ( CVE-2022-41080 )を標的とする OWASSRF と呼ばれるゼロデイエクスプロイトを使用して、 ProxyNotShell URL 書き換え緩和策をバイパスした後、ネットワーク上のパッチが適用されていない Microsoft Exchange サーバーを侵害したことを確認しました。

Microsoft によると、Play ランサムウェアギャングは 2022 年 11 月下旬からこのセキュリティ上の欠陥を悪用しています。同社は、潜在的な攻撃をブロックするために、CVE-2022-41080 パッチを優先することをお客様にアドバイスしています。

Redmond によると、この SSRF 脆弱性は、少なくとも 11 月 17 日以降、DEV-0671 として追跡されている別の脅威グループによってエクスプロイトされ、Exchange サーバーをハッキングしてキューバランサムウェアペイロードを展開しているとのことです。

Microsoft は、Microsoft 365 Defender、Microsoft Defender for Endpoint Plan 2、または Microsoft Defender for Business サブスクリプションを使用しているお客様が閲覧および利用できるプライベート脅威分析レポートの 1 月の更新で、この情報を共有しました。

Microsoft は 11 月 8 日にこの SSRF Exchange の脆弱性に対処するためのセキュリティ更新プログラムをリリースし、ランサムウェアギャングがこの脆弱性を利用しているという情報を一部の顧客に提供しましたが、アドバイザリはまだ更新されておらず、実際に悪用されていることを警告しています。

Table of contents

OWASSRF 攻撃に対して Exchange サーバーにパッチを適用する
世界中で 100 件を超える攻撃の背後にあるキューバのランサムウェア

OWASSRF 攻撃に対して Exchange サーバーにパッチを適用する

Rackspaces のネットワークで CrowdStrike セキュリティ研究者が発見した OWASSRF エクスプロイトも、Play ランサムウェアの他の悪意のあるツールと一緒にオンラインで共有されました。

これにより、他のサイバー犯罪者が Play ランサムウェアのツールを独自の目的に適合させたり、独自のカスタム CVE-2022-41080 エクスプロイトを作成したりすることが容易になり、脆弱性にできるだけ早くパッチを適用する緊急性が高まります。

火曜日、サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー (CISA) は、連邦民間行政機関 (FCEB) 機関に対して、1 月 31 日までにこのバグに対応するパッチをシステムに適用するよう命令し、すべての組織に対して、エクスプロイトの試みを阻止するために Exchange サーバーを保護するよう強く求めました。

ネットワーク上にオンプレミスの Microsoft Exchange サーバーを使用している組織は、最新の Exchange セキュリティ更新プログラムを直ちに (2022 年 11 月を最小パッチレベルとして) 展開するか、CVE-2022-41080 パッチを適用できるようになるまで Outlook Web Access (OWA) を無効にする必要があります。

世界中で 100 件を超える攻撃の背後にあるキューバのランサムウェア

FBI と CISA は、先月発行された共同セキュリティ勧告で、キューバのランサムウェアギャングが世界中で 100 人以上の被害者を侵害した後、2022 年 8 月の時点で 6,000 万ドル以上の身代金を稼いだことを明らかにしました。

これは暗い状況を描いていますが、被害者が ID-Ransomware プラットフォーム分析に提出したサンプルは、ギャングがあまり活動的ではないことを示しており、ランサムウェア操作が多少非活動的であっても大きな影響を与える可能性があることを証明しています.

キューバランサムウェア ID-ランサムウェアサンプル提出 — *キューバのランサムウェアサンプル提出 (ID-ランサムウェア)*

2021 年 12 月の別の FBI 勧告は、ランサムウェアグループが米国の重要なインフラストラクチャセクターの少なくとも 49 の組織に侵入したと警告しました。

両方の勧告で、FBI は、キューバのランサムウェア攻撃を地元の FBI 現地事務所に報告することを強く求め、ランサムウェアギャングのメンバーと彼らが協力しているサイバー犯罪者を特定するために、被害者に地元の FBI サイバースクワッドと関連情報を共有するよう求めました。

Play ランサムウェアは、キューバランサムウェアほど多くはありませんが、2022 年 6 月に最初に発見されたのはもっと最近のことですが、非常に活発であり、 Rackspace 、ドイツの H-Hotels ホテルチェーン、ベルギーの都市アントワープ、およびアルゼンチンのコルドバ司法。

OWASSRF 攻撃に対して Exchange サーバーにパッチを適用する

世界中で 100 件を超える攻撃の背後にあるキューバのランサムウェア

Comments