新勒索破绽可绕过微软Exchange的ProxyNotShell 减缓措施

87552906

IT之家十二月22日动静，网络平安公司CrowdStrike近日在考察多款GooglePlay勒索软件后，发现了名为“OWASSRF”的新破绽。黑客利用该破绽绕过微软ProxyNotShellURL重写减缓措施，经过OutlookWebAccess（OWA）履行近程代码。


平安专家在深化考察“OWASSRF”之后发现，其中常见的入口向量疑心是MicrosoftExchangeProxyNotShell破绽CVE-2022-41040和CVE-2022-41082。该团队还发现，对指标网络的初始拜候并非经过间接利用CVE-2022-41040完成的，而是经过OWA端点完成的。




CrowdStrike钻研人员在十二月20日的博客文章中说：“新的利用办法绕过了微软为响应ProxyNotShell而提供的自动发现端点的URL重写减缓措施。这似乎是一种别致的、之前未记载的形式，能够经过OWA前端端点拜候PowerShell近程办事，而不是利用自动发现端点”。
IT之家理解到，虽然ProxyNotShell利用CVE-2022-41040，但CrowdStrike发现新发现的利用可能利用了另外一个重大破绽，该破绽被跟踪为CVE-2022-41080（CVSS评分：8.8），此前滥用CVE-2022-41082进行近程代码履行。
CrowdStrike增补道：“经过这类新的利用办法进行初始拜候后，要挟行动者利用合法的Plink和AnyDesk可履行文件来维持拜候，并在MicrosoftExchange办事器上履行反取证技术以试图暗藏他们的流动”。
微软在十一月的补钉礼拜二期间解决了上述三个破绽。CrowdStrike首席寰球专业办事官ThomasEtheridge表现：“要挟行动者可能会持续利用MicrosoftExchange破绽并翻新部署破坏性勒索软件”。