查看: 1702|回复: 2
收起左侧

[IT业界] 可绕过微软 Exchange 的 ProxyNotShell 缓解措施,安全公司发现新勒索漏洞

[复制链接]
蓝天二号
发表于 2022-12-22 10:08:25 | 显示全部楼层 |阅读模式
IT之家 12 月 22 日消息,网络安全公司 CrowdStrike 近日在调查多款 Google Play 勒索软件后,发现了名为“OWASSRF”的新漏洞。黑客利用该漏洞绕过微软 ProxyNotShell URL 重写缓解措施,通过 Outlook Web Access(OWA)执行远程代码。
Screenshot_20221222_100721_360.jpg
安全专家在深入调查“OWASSRF”之后发现,其中常见的入口向量怀疑是 Microsoft Exchange ProxyNotShell 漏洞 CVE-2022-41040 和 CVE-2022-41082。该团队还发现,对目标网络的初始访问并不是通过直接利用 CVE-2022-41040 实现的,而是通过 OWA 端点实现的。
Screenshot_20221222_100734_360.jpg
CrowdStrike 研究人员在 12 月 20 日的博客文章中说:“新的利用方法绕过了微软为响应 ProxyNotShell 而提供的自动发现端点的 URL 重写缓解措施。这似乎是一种新颖的、以前未记录的方式,可以通过 OWA 前端端点访问 PowerShell 远程服务,而不是利用自动发现端点”。

IT之家了解到,虽然 ProxyNotShell 利用 CVE-2022-41040,但 CrowdStrike 发现新发现的利用可能利用了另一个严重漏洞,该漏洞被跟踪为 CVE-2022-41080(CVSS 评分:8.8),此前滥用 CVE-2022-41082 进行远程代码执行。

CrowdStrike 补充道:“通过这种新的利用方法进行初始访问后,威胁行为者利用合法的 Plink 和 AnyDesk 可执行文件来维持访问,并在 Microsoft Exchange 服务器上执行反取证技术以试图隐藏他们的活动”。

微软在 11 月的补丁星期二期间解决了上述三个漏洞。CrowdStrike 首席全球专业服务官 Thomas Etheridge 表示:“威胁行为者可能会继续利用 Microsoft Exchange 漏洞并创新部署破坏性勒索软件”。
yyz219
头像被屏蔽
发表于 2022-12-22 12:00:37 | 显示全部楼层
勒索病毒太讨厌
愤怒の葡萄
头像被屏蔽
发表于 2022-12-23 12:03:54 | 显示全部楼层
还好我没有中国勒索病毒,中了就太可怕了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 22:56 , Processed in 0.132382 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表