Play勒索軟件團體利用MS Exchange漏洞在伺服器上獲得RCE

Play勒索軟件威脅者正使用一個新的漏洞鏈，繞過Microsoft Exchange伺服器中ProxyNotShell漏洞的阻止規則，通過Outlook Web Access（OWA ）實現遠端代碼執行（RCE）。

CrowdStrike的研究人員Brian Pitchford、Erik Iker和Nicolas Zilio解釋說：「新的方法繞過了Autodiscover 端點的URL重寫緩解措施。研究人員在調查Play勒索軟件攻擊時，發現了新的漏洞鏈，稱為OWASSRF，其中遭破壞的Microsoft Exchange伺服器被用來滲透到受害者的網路中。」

研究人員發現對網路的初始訪問不是直接通過CVE-2022-41040實現的，而是通過OWA端點。 OWASSRF技術利用另一個被追蹤為CVE-2022-410的關鍵漏洞來實現許可權升級，隨後濫用CVE-2022-41082進行遠端代碼執行。

攻擊者使用的所有漏洞都被Microsoft於2022年11月的「補丁星期二」（Patch Tuesday）更新中加以解決。

資料來源：CrowdStrike