Redazione RHC : 3 Gennaio 2023 08:05
Secondo gli analisti di CrowdStrike, gli operatori del Play ransomware usano una nuova catena di exploit che aggira con successo la protezione da riscrittura degli URL associata al bug ProxyNotShell.
Ciò porta infine all’esecuzione di codice remoto sui server interessati tramite Outlook Web Access (OWA).
I ricercatori hanno scoperto il nuovo exploit (denominato OWASSRF) durante le indagini sugli attacchi di Play ransomware. Il ransomware utilizza server Microsoft Exchange compromessi per infiltrarsi nelle reti delle vittime.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Per eseguire comandi arbitrari sui server, gli operatori ransomware hanno utilizzato Remote PowerShell e hanno abusato del bug CVE-2022-41082 (una delle vulnerabilità di ProxyNotShell).
“In tutti i casi, CrowdStrike ha esaminato i registri pertinenti e non ha riscontrato prove di sfruttamento di CVE-2022-41040 per l’accesso iniziale. Invece, si è scoperto che le richieste sono state effettuate direttamente tramite l’endpoint di Outlook Web Access (OWA), che punta a un exploit precedentemente sconosciuto per Exchange”
Avvertono gli esperti.
Gli exploit per ProxyNotShell di solito prendono di mira il problema CVE-2022-41040 ma gli esperti di CrowdStrike hanno scoperto l’uso dell’exploit della vulnerabilità CVE-2022-41080
Questo consente di elevare da remoto i privilegi sui server Exchange. Allo stesso tempo, è stato riferito che gli hacker non utilizzano ancora questo problema.
Inizialmente, la vulnerabilità CVE-2022-41080 è stata scoperta dai ricercatori di 360 Noah Lab e Viettel Cyber Security. Hanno avvertito che potrebbe essere utilizzato come parte di una “catena RCE locale in Exchange, Exchange Online, Skype for Business Server e possibilmente anche SFB Online + Teams”.
Non è chiaro se gli aggressori di Play ransomware abbiano utilizzato questa vulnerabilità per attaccare Microsoft Exchange come exploit di 0 day o se abbiano messo in servizio il bug dopo il rilascio delle patch.
Bleeping Computer osserva che mentre gli esperti di CrowdStrike stavano studiando la loro scoperta e creando il proprio exploit PoC (cercando di capire esattamente come si comportavano gli aggressori), gli analisti di Huntress Labs hanno notato che il 14 dicembre gli strumenti dei criminali informatici sono trapelati in rete.
Poiché il toolkit conteneva un exploit PoC creato dagli operatori Play per Exchange, questo ha finalmente permesso ai ricercatori di ricreare l’attività dannosa.
Gli esperti sono ora certi che l’exploit sia stato utilizzato per fornire strumenti di accesso remoto, tra cui Plink e AnyDesk, a server compromessi.
Redazione18 novembre 2025 – Dopo ore di malfunzionamenti diffusi, l’incidente che ha colpito la rete globale di Cloudflare sembra finalmente vicino alla risoluzione. L’azienda ha comunicato di aver imple...
La mattinata del 18 novembre 2025 sarà ricordata come uno dei blackout più anomali e diffusi della rete Cloudflare degli ultimi mesi. La CDN – cuore pulsante di milioni di siti web, applicazioni e...
La stanza è la solita: luci tenui, sedie in cerchio, termos di tisane ormai diventate fredde da quanto tutti parlano e si sfogano. Siamo gli Shakerati Anonimi, un gruppo di persone che non avrebbe ma...
Un nuovo allarme sulla sicurezza nel mondo degli investimenti online viene portato all’attenzione da Paragon sec, azienda attiva nel settore della cybersecurity, che ha pubblicato su LinkedIn un pos...
Un’indagine su forum e piattaforme online specializzate ha rivelato l’esistenza di un fiorente mercato nero di account finanziari europei. Un’entità denominata “ASGARD”, sta pubblicizzando ...
