世界快看點(diǎn)丨可繞過微軟 Exchange 的 ProxyNotShell 緩解措施，安全公司發(fā)現(xiàn)新勒索漏洞

2022-12-22 10:14:44|

來源：IT之家作者：

(資料圖)

IT之家 12 月 22 日消息，網(wǎng)絡(luò)安全公司 CrowdStrike 近日在調(diào)查多款 Google Play 勒索軟件后，發(fā)現(xiàn)了名為“OWASSRF”的新漏洞。黑客利用該漏洞繞過微軟 ProxyNotShell URL 重寫緩解措施，通過 Outlook Web Access（OWA）執(zhí)行遠(yuǎn)程代碼。

安全專家在深入調(diào)查“OWASSRF”之后發(fā)現(xiàn)，其中常見的入口向量懷疑是 Microsoft Exchange ProxyNotShell 漏洞 CVE-2022-41040 和 CVE-2022-41082。該團(tuán)隊(duì)還發(fā)現(xiàn)，對目標(biāo)網(wǎng)絡(luò)的初始訪問并不是通過直接利用 CVE-2022-41040 實(shí)現(xiàn)的，而是通過 OWA 端點(diǎn)實(shí)現(xiàn)的。

CrowdStrike 研究人員在 12 月 20 日的博客文章中說：“新的利用方法繞過了微軟為響應(yīng) ProxyNotShell 而提供的自動發(fā)現(xiàn)端點(diǎn)的 URL 重寫緩解措施。這似乎是一種新穎的、以前未記錄的方式，可以通過 OWA 前端端點(diǎn)訪問 PowerShell 遠(yuǎn)程服務(wù)，而不是利用自動發(fā)現(xiàn)端點(diǎn)”。

IT之家了解到，雖然 ProxyNotShell 利用 CVE-2022-41040，但 CrowdStrike 發(fā)現(xiàn)新發(fā)現(xiàn)的利用可能利用了另一個嚴(yán)重漏洞，該漏洞被跟蹤為 CVE-2022-41080（CVSS 評分：8.8），此前濫用 CVE-2022-41082 進(jìn)行遠(yuǎn)程代碼執(zhí)行。

CrowdStrike 補(bǔ)充道：“通過這種新的利用方法進(jìn)行初始訪問后，威脅行為者利用合法的 Plink 和 AnyDesk 可執(zhí)行文件來維持訪問，并在 Microsoft Exchange 服務(wù)器上執(zhí)行反取證技術(shù)以試圖隱藏他們的活動”。

微軟在 11 月的補(bǔ)丁星期二期間解決了上述三個漏洞。CrowdStrike 首席全球?qū)I(yè)服務(wù)官 Thomas Etheridge 表示：“威脅行為者可能會繼續(xù)利用 Microsoft Exchange 漏洞并創(chuàng)新部署破壞性勒索軟件”。

標(biāo)簽： Exchange