勒索软件黑客使用新方法绕过MS Exchange ProxyNotShell缓解措施

与被称为Play的勒索软件相关的威胁参与者正在利用一个前所未见的漏洞链，绕过Microsoft Exchange Server中ProxyNotShell漏洞的阻止规则，通过Outlook Web Access（OWA）实现远程代码执行（RCE）。

CrowdStrike研究人员Brian Pitchford、Erik Iker和Nicolas Zilio在周二发表的一篇技术报告中表示：“新的攻击方法绕过了自动发现端点的URL重写缓解措施”。

2022年6月首次出现的Play勒索软件被发现采用了Hive和Nokoyawa等其他勒索软件家族采用的许多策略，后者于2022年9月升级为Rust。

网络安全公司对几起Play勒索软件入侵事件的调查发现，最初对目标环境的访问不是通过直接利用CVE-2022-41040实现的，而是通过OWA端点实现的。

配音OWASSRF公司，该技术可能利用CVE-2022-41080（CVSS评分：8.8）跟踪的另一个关键缺陷实现权限升级，然后滥用CVE-2022-4 1082进行远程代码执行。

值得注意的是，CVE-2022-41040和CVE-2022-4 1080都源于服务器端请求伪造（SSRF），这允许攻击者访问未经授权的内部资源，在本例中是PowerShell远程处理服务。

CrowdStrike表示，成功的初始访问使对手能够删除合法的Plink和AnyDesk可执行文件，以保持持久访问，并采取措施清除受感染服务器上的Windows事件日志，以隐藏恶意活动。

作为2022年11月补丁星期二更新的一部分，微软解决了这三个漏洞。然而，尚不清楚CVE-2022-41080是否与CVE-2022-4 1040和CVE-2022-81082一起被积极利用为零日。

就Windows制造商而言，该公司已将CVE-2022-41080标记为“更有可能利用漏洞”评估，这意味着攻击者有可能创建可用于可靠地将漏洞武器化的漏洞代码。

CrowdStrike进一步指出，Huntress Labs研究人员Dray Agha上周发现并泄露的一个概念验证（PoC）Python脚本可能已被Play勒索软件演员用于初始访问。

事实证明，Python脚本的执行使得“复制最近Play勒索软件攻击中生成的日志”成为可能。

研究人员表示：“组织应应用2022年11月8日针对Exchange的修补程序，以防止利用，因为ProxyNotShell的URL重写缓解措施对这种利用方法无效”。

使现代化

周三，网络安全公司Rapid7在一份相关咨询报告中表示，通过上述OWASSRF漏洞链获取远程代码执行，该公司观察到“Microsoft Exchange Server漏洞数量增加”。

Rapid7研究人员Glenn Thorpe指出：“修补的服务器似乎不易受攻击，仅使用Microsoft缓解措施的服务器确实易受攻击。”。“威胁参与者正在利用这一点部署勒索软件”。

在与《黑客新闻》分享的一份声明中，微软发言人表示，“报告的方法利用了未应用我们最新安全更新的易受攻击系统”，并补充道“客户应优先安装最新更新，特别是2022年11月的Exchange Server更新”。