駭客新攻擊手段　勒索軟體繞過微軟Exchange安全機制

編譯／鄭智懷

資安公司CrowdStrike指出，使用「Play」勒索軟體的駭客組織正採用前所未見的安全漏洞，繞過Microsoft Exchange的安全機制中針對ProxyNotShell漏洞設置的安全措施，而能夠對Outlook 網頁版（OWA）展開遠端程式碼執行（RCE）攻擊。

CrowdStrike研究人員 Brian Pitchford、Erik Iker 和 Nicolas Zilio觀察多個 「Play 」勒索軟體入侵的調查後發現，該新攻擊手段迴避了「URL Rewrite」功能，發起對「自動探索」（Autodiscover）功能端點的攻擊。

該公司指出，「Play」對目標的初始存取（initial access）並非直接利用各界熟知的CVE-2022-41040漏洞，而是通過「Outlook 網頁版」端點。研究者稱該技術為「OWASSRF」，並認為可能是利用CVE-2022-41080漏洞提升存取資料權限，接著以CVE-2022-41082漏洞展開遠端程式碼執行攻擊。

其中，攻擊者利用CVE-2022-41040和CVE-2022-41080漏洞，發起伺服器端請求偽造（SSRF）攻擊，無需獲得系統權限就可以獲得系統的資料。同時，在初始存取後，攻擊者可進一步移除目標的資安防護措施，以及清除安全日至內容以隱藏入侵活動。

微軟已經在 2022 年 11 月發布的更新，釋出修補上述三個安全漏洞的補丁。不過，目前尚不清楚CVE-2022-41080 是否與 CVE-2022-41040 和 CVE-2022-41082兩個漏洞一起被駭客積極用於零時差（zero-day）攻擊。

此外，CrowdStrike指出，在上週洩漏的Python腳本的概念驗證（PoC）內容可能被「Play」勒索軟體集團用於對目標的初始存取。因此，該公司建議各組織應盡快將系統更新至最新版本，避免受到此新型攻擊手法的危害。

資料來源：The Hacker News

瀏覽 820 次