可繞過微軟 Exchange 的 ProxyNotShell 緩解措施，安全公司發(fā)現(xiàn)新勒索漏洞

IT之家 12 月 22 日消息，網(wǎng)絡(luò)安全公司 CrowdStrike 近日在調(diào)查多款 Google Play 勒索軟件后，發(fā)現(xiàn)了名為“OWASSRF”的新漏洞。黑客利用該漏洞繞過微軟 ProxyNotShell URL 重寫緩解措施，通過 Outlook Web Access（OWA）執(zhí)行遠程代碼。

安全專家在深入調(diào)查“OWASSRF”之后發(fā)現(xiàn)，其中常見的入口向量懷疑是 Microsoft Exchange ProxyNotShell 漏洞 CVE-2022-41040 和 CVE-2022-41082。該團隊還發(fā)現(xiàn)，對目標(biāo)網(wǎng)絡(luò)的初始訪問并不是通過直接利用 CVE-2022-41040 實現(xiàn)的，而是通過 OWA 端點實現(xiàn)的。

CrowdStrike 研究人員在 12 月 20 日的博客文章中說：“新的利用方法繞過了微軟為響應(yīng) ProxyNotShell 而提供的自動發(fā)現(xiàn)端點的 URL 重寫緩解措施。這似乎是一種新穎的、以前未記錄的方式，可以通過 OWA 前端端點訪問 PowerShell 遠程服務(wù)，而不是利用自動發(fā)現(xiàn)端點”。

IT之家了解到，雖然 ProxyNotShell 利用 CVE-2022-41040，但 CrowdStrike 發(fā)現(xiàn)新發(fā)現(xiàn)的利用可能利用了另一個嚴重漏洞，該漏洞被跟蹤為 CVE-2022-41080（CVSS 評分：8.8），此前濫用 CVE-2022-41082 進行遠程代碼執(zhí)行。

CrowdStrike 補充道：“通過這種新的利用方法進行初始訪問后，威脅行為者利用合法的 Plink 和 AnyDesk 可執(zhí)行文件來維持訪問，并在 Microsoft Exchange 服務(wù)器上執(zhí)行反取證技術(shù)以試圖隱藏他們的活動”。

微軟在 11 月的補丁星期二期間解決了上述三個漏洞。CrowdStrike 首席全球?qū)I(yè)服務(wù)官 Thomas Etheridge 表示：“威脅行為者可能會繼續(xù)利用 Microsoft Exchange 漏洞并創(chuàng)新部署破壞性勒索軟件”。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。