微软Exchange面临新型勒索病毒攻击

关键要点

• Play勒索病毒关联的攻击者利用新的漏洞方法，绕过Microsoft的ProxyNotShell URL重写减缓措施，从Outlook Web Access（OWA）获得远程代码执行。
• CrowdStrike研究人员在调查Play勒索病毒入侵时发现了这种新的漏洞（称为OWASSRF）。
• 攻击者利用合法的Plink和AnyDesk可执行文件维持访问，并对Microsoft Exchange服务器进行了反取证操作。
• 微软在11月的补丁星期二中已修复了所有相关漏洞，用户应及时安装更新。

近期，微软Exchange被Play勒索病毒关联的攻击者通过一种前所未见的漏洞利用方法进行了攻击。这一方法成功绕过了Microsoft的ProxyNotShellURL重写缓解措施，从而利用Outlook WebAccess（OWA）获得了远程代码执行权限。CrowdStrike的研究团队在多个Play勒索病毒入侵事件的调查中识别出了这一新的漏洞，这些事件的通用入侵入口被怀疑与MicrosoftExchange的ProxyNotShell漏洞有关。

具体来说，CrowdStrike报告称，最初对目标网络的访问并不是通过直接利用CVE-2022-41040漏洞来实现的，而是通过OWA端点获取的。他们在一篇博客文章中指出：“这种新的漏洞利用方法成功绕过了Microsoft为ProxyNotShell提供的Autodiscover端点的URL重写减缓措施。这表明通过OWA前端端点访问PowerShell远程服务的一种全新、前所未见的方法。”

尽管ProxyNotShell利用了CVE-2022-41040，CrowdStrike发现新的漏洞很可能利用了另一个被跟踪的关键缺陷，编号为CVE-2022-41080（CVSS评分：8.8），并在利用CVE-2022-41082进行远程代码执行之后得以实现。

图示： ProxyNotShell与新的OWASSRF漏洞方法之间的区别（CrowdStrike）

在利用这一新的漏洞方法获取初步访问权限后，攻击者采用了合法的Plink和AnyDesk可执行文件来维持访问，并在MicrosoftExchange服务器上执行了反取证技术，以隐藏其活动。

CrowdStrike还指出，Huntress Labs的威胁研究员DrayAgha在12月14日发现并泄露的一个Python概念验证脚本可能会被Play勒索病毒的参与者用于初步访问。CrowdStrike能够通过这一泄露的工具复制Play勒索病毒攻击中的恶意活动，这一推断得到了进一步的支持。

微软已经在11月的补丁星期二中修复了所有三个漏洞。然而，目前尚不清楚CVE-2022-41080是否与其他两个关键ProxyNotShell漏洞一起，作为零日漏洞滥用在MicrosoftExchange攻击链之前生效。

CrowdStrike全球专业服务首席官Thomas Etheridge在接受SCMedia采访时表示：“这些事件进一步证明了威胁参与者继续利用Microsoft Exchange漏洞并创新利用破坏性勒索软件的能力。”

微软发言人在给SCMedia的邮件中表示，这一新漏洞尚未适用于公司的最新安全更新，客户应优先安装11月8日针对Exchange的补丁。有关Patch更新的详细信息，请参考
。