Recientemente se ha reportado un nuevo método de explotación llamado “OWASSRF” que aprovecha dos vulnerabilidades CVE-2022-41080 y CVE-2022-41082 (ProxyNotShell) y omite las recomendaciones de reescritura de URL proporcionado por Microsoft para dichas vulnerabilidades.
Dicho método permitiría a un atacante autenticado realizar ejecución remota de código (RCE) a través de Outlook Web Access (OWA). El mismo está siendo explotado activamente por grupos maliciosos (ej. Ransomware Play) y existe una prueba de concepto (PoC) pública de la misma.
Los productos afectados son:
- Exchange Server 2019.
- Exchange Server 2016.
- Exchange Server 2013
Información adicional:
- https://www.cert.gov.py/wp-content/uploads/2022/12/BOL-CERT-PY-2022-52-Nuevo-metodo-de-explotacion-OWASSRF-Microsoft-Exchange.pdf
- https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/
- https://nvd.nist.gov/vuln/detail/CVE-2022-41080
- https://nvd.nist.gov/vuln/detail/CVE-2022-41082
- https://cyware.com/news/beyond-proxynotshell-new-owassrf-exploit-targets-ms-exchange-0d4dae20
- https://www.bleepingcomputer.com/news/security/ransomware-gang-uses-new-microsoft-exchange-exploit-to-breach-servers/
- https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-november-8-2022-kb5019758-2b3b039b-68b9-4f35-9064-6b286f495b1d