Play勒索軟件團體利用MS Exchange漏洞在伺服器上獲得RCE

Play勒索軟件威脅者正使用一個新的漏洞鏈,繞過Microsoft Exchange伺服器中ProxyNotShell漏洞的阻止規則,通過Outlook Web Access(OWA )實現遠端代碼執行(RCE)。
CrowdStrike的研究人員Brian Pitchford、Erik Iker和Nicolas Zilio解釋說:「新的方法繞過了Autodiscover 端點的URL重寫緩解措施。 研究人員在調查Play勒索軟件攻擊時,發現了新的漏洞鏈,稱為OWASSRF,其中遭破壞的Microsoft Exchange伺服器被用來滲透到受害者的網路中。」
研究人員發現對網路的初始訪問不是直接通過CVE-2022-41040實現的,而是通過OWA端點。 OWASSRF技術利用另一個被追蹤為CVE-2022-410的關鍵漏洞來實現許可權升級,隨後濫用CVE-2022-41082進行遠端代碼執行。
攻擊者使用的所有漏洞都被Microsoft於2022年11月的 「補丁星期二 」(Patch Tuesday)更新中加以解決。
資料來源:CrowdStrike
立即聯絡Amidas顧問了解更多,
會議結束後更有機會獲得港幣100元購物禮券*。
*優惠只適用於完成會議並由Amidas確認為合資格客戶。
Amidas保留最終決定權。
如有任何疑問,歡迎透過以下方式聯絡我們:
電話:2168 0388
Whatsapp: 98283401
電郵:sales@amidas.com.hk