华人澳洲中文论坛

热图推荐

    新勒索破绽可绕过微软Exchange的ProxyNotShell 减缓措施

    [复制链接]

    2022-12-23 07:22:16 41 0

    IT之家十二月22日动静,网络平安公司CrowdStrike近日在考察多款GooglePlay勒索软件后,发现了名为“OWASSRF”的新破绽。黑客利用该破绽绕过微软ProxyNotShellURL重写减缓措施,经过OutlookWebAccess(OWA)履行近程代码。


    平安专家在深化考察“OWASSRF”之后发现,其中常见的入口向量疑心是MicrosoftExchangeProxyNotShell破绽CVE-2022-41040和CVE-2022-41082。该团队还发现,对指标网络的初始拜候并非经过间接利用CVE-2022-41040完成的,而是经过OWA端点完成的。




    CrowdStrike钻研人员在十二月20日的博客文章中说:“新的利用办法绕过了微软为响应ProxyNotShell而提供的自动发现端点的URL重写减缓措施。这似乎是一种别致的、之前未记载的形式,能够经过OWA前端端点拜候PowerShell近程办事,而不是利用自动发现端点”。
    IT之家理解到,虽然ProxyNotShell利用CVE-2022-41040,但CrowdStrike发现新发现的利用可能利用了另外一个重大破绽,该破绽被跟踪为CVE-2022-41080(CVSS评分:8.8),此前滥用CVE-2022-41082进行近程代码履行。
    CrowdStrike增补道:“经过这类新的利用办法进行初始拜候后,要挟行动者利用合法的Plink和AnyDesk可履行文件来维持拜候,并在MicrosoftExchange办事器上履行反取证技术以试图暗藏他们的流动”。
    微软在十一月的补钉礼拜二期间解决了上述三个破绽。CrowdStrike首席寰球专业办事官ThomasEtheridge表现:“要挟行动者可能会持续利用MicrosoftExchange破绽并翻新部署破坏性勒索软件”。

    发表回复

    您需要登录后才可以回帖 登录 | 立即注册

    返回列表 本版积分规则

    :
    注册会员
    :
    论坛短信
    :
    未填写
    :
    未填写
    :
    未填写

    主题27

    帖子37

    积分179

    图文推荐