我们更懂您!

如果您目前遇到维护网站的困难,请及时联系我们,也非常欢迎致电我们广受好评的服务团队。
我们深信会得到您的认可。我们期待您的垂询。

联系我们

可绕过微软(Microsoft) Exchange 的 ProxyNotShell 缓解措施,安全公司发现新勒索漏洞

发布日期:2022-12-22 网站维护

12月22日消息,网络安全公司 CrowdStrike 这几天在调查多款 谷歌(Google) Play 勒索软件后,发现了名为“OWASSRF”的新漏洞。黑客(hacker)利用该漏洞绕过微软(Microsoft) ProxyNotShell URL 重写缓解措施,通过 Outlook Web Access(OWA)执行远程代码。

安全专家在深入调查“OWASSRF”之后发现,其中常见的入口向量怀疑是 Microsoft(Microsoft 微软) Exchange ProxyNotShell 漏洞 CVE-2022-41040 和 CVE-2022-41082。该团队还发现,对目标网络的初始访问并不是通过直接利用 CVE-2022-41040 实现的,而是通过 OWA 端点实现的。

CrowdStrike 研究人员在 12月20日的博客(Blog)文章中说:“新的利用方法绕过了微软(Microsoft)为响应 ProxyNotShell 而提供的自动发现端点的 URL 重写缓解措施。这似乎是一种新颖的、以前未记录的方式,可以通过 OWA 前端端点访问 PowerShell 远程服务,而不是利用自动发现端点”。

据网站(网站维护)多年来观察到,虽然 ProxyNotShell 利用 CVE-2022-41040,但 CrowdStrike 发现新发现的利用可能利用了另一个严重漏洞,该漏洞被跟踪为 CVE-2022-41080(美国CVS公司(CVS)S 评分:8.8),此前滥用 CVE-2022-41082 进行远程代码执行。

CrowdStrike 补充道:“通过这种新的利用方法进行初始访问后,威胁行为者利用合法的 Plink(link 普瑞尔) 和 AnyDesk 可执行文件来维持访问,并在 Microsoft(Microsoft 微软) Exchange 服务器上执行反取证技术以试图隐藏他们的活动”。

微软(Microsoft)在 11 月的补丁星期二期间解决了上述三个漏洞。CrowdStrike 首席全球专业服务官 Thomas Etheridge 表示:“威胁行为者可能会继续利用 Microsoft(Microsoft 微软) Exchange 漏洞并创新(Creative)部署破坏性勒索软件”。