世界快看點丨可繞過微軟 Exchange 的 ProxyNotShell 緩解措施,安全公司發現新勒索漏洞
(資料圖)
IT之家 12 月 22 日消息,網絡安全公司 CrowdStrike 近日在調查多款 Google Play 勒索軟件后,發現了名為“OWASSRF”的新漏洞。黑客利用該漏洞繞過微軟 ProxyNotShell URL 重寫緩解措施,通過 Outlook Web Access(OWA)執行遠程代碼。
安全專家在深入調查“OWASSRF”之后發現,其中常見的入口向量懷疑是 Microsoft Exchange ProxyNotShell 漏洞 CVE-2022-41040 和 CVE-2022-41082。該團隊還發現,對目標網絡的初始訪問并不是通過直接利用 CVE-2022-41040 實現的,而是通過 OWA 端點實現的。
CrowdStrike 研究人員在 12 月 20 日的博客文章中說:“新的利用方法繞過了微軟為響應 ProxyNotShell 而提供的自動發現端點的 URL 重寫緩解措施。這似乎是一種新穎的、以前未記錄的方式,可以通過 OWA 前端端點訪問 PowerShell 遠程服務,而不是利用自動發現端點”。
IT之家了解到,雖然 ProxyNotShell 利用 CVE-2022-41040,但 CrowdStrike 發現新發現的利用可能利用了另一個嚴重漏洞,該漏洞被跟蹤為 CVE-2022-41080(CVSS 評分:8.8),此前濫用 CVE-2022-41082 進行遠程代碼執行。
CrowdStrike 補充道:“通過這種新的利用方法進行初始訪問后,威脅行為者利用合法的 Plink 和 AnyDesk 可執行文件來維持訪問,并在 Microsoft Exchange 服務器上執行反取證技術以試圖隱藏他們的活動”。
微軟在 11 月的補丁星期二期間解決了上述三個漏洞。CrowdStrike 首席全球專業服務官 Thomas Etheridge 表示:“威脅行為者可能會繼續利用 Microsoft Exchange 漏洞并創新部署破壞性勒索軟件”。
標簽: Exchange
