与名为 Play 的勒索软件有关的威胁参与者正在利用前所未见的漏洞利用链,绕过 Microsoft Exchange Server 中 ProxyNotShell 缺陷的阻止规则,通过 Outlook Web Access ( OWA ) 实现远程代码执行 (RCE )。
CrowdStrike 研究人员 Brian Pitchford、Erik Iker 和 Nicolas Zilio在周二发表的一篇技术文章中说: “新的利用方法绕过了Autodiscover 端点的URL 重写缓解措施。”
Play 勒索软件于 2022 年 6 月首次出现,据透露它采用了其他勒索软件家族采用的许多策略,例如Hive和Nokoyawa,后者于 2022 年 9 月升级为 Rust。
该网络安全公司对多个 Play 勒索软件入侵的调查发现,对目标环境的初始访问不是通过直接利用CVE-2022-41040实现的,而是通过 OWA 端点实现的。
该技术被称为OWASSRF,可能利用另一个被追踪为CVE-2022-41080(CVSS 评分:8.8)的严重缺陷来实现权限提升,然后滥用CVE-2022-41082进行远程代码执行。
值得注意的是,CVE-2022-41040 和 CVE-2022-41080 都源于服务器端请求伪造 ( SSRF ),它允许攻击者访问未经授权的内部资源,在本例中为PowerShell 远程服务。
CrowdStrike 表示,成功的初始访问使对手能够删除合法的 Plink 和 AnyDesk 可执行文件以保持持久访问,并采取措施清除受感染服务器上的 Windows 事件日志以隐藏恶意活动。
微软在 2022 年 11 月的补丁星期二更新中解决了这三个漏洞。但是,尚不清楚 CVE-2022-41080 是否与 CVE-2022-41040 和 CVE-2022-41082 一起作为零日漏洞被积极利用。
就 Windows 制造商而言,它已将 CVE-2022-41080 标记为“更有可能被利用”评估,这意味着攻击者有可能创建可用于可靠地武器化该漏洞的漏洞利用代码。
CrowdStrike 进一步指出,上周由 Huntress Labs 研究员 Dray Agha发现并泄露的概念验证 (PoC) Python 脚本可能已被 Play 勒索软件参与者用于初始访问。
事实证明,Python 脚本的执行使得“复制最近 Play 勒索软件攻击中生成的日志”成为可能。
研究人员说:“组织应该为 Exchange 应用 2022 年 11 月 8 日的补丁以防止利用,因为 ProxyNotShell 的 URL 重写缓解措施对这种利用方法无效。”
更新
网络安全公司 Rapid7 在周三的相关咨询中表示,它观察到通过上述 OWASSRF 漏洞利用链获得远程代码执行的“Microsoft Exchange Server 妥协数量增加”。
“打了补丁的服务器似乎并不容易受到攻击,仅使用 Microsoft 缓解措施的服务器确实容易受到攻击,”Rapid7 研究员 Glenn Thorpe指出。“威胁行为者正在使用它来部署勒索软件。”
微软发言人在与黑客新闻分享的一份声明中表示,“报告的方法利用了未应用我们最新安全更新的易受攻击的系统”,并补充说“客户应优先安装最新更新,特别是我们2022 年 11 月的 Exchange Server 更新。”
