駭客新攻擊手段 勒索軟體繞過微軟Exchange安全機制
編譯/鄭智懷
資安公司CrowdStrike指出,使用「Play」勒索軟體的駭客組織正採用前所未見的安全漏洞,繞過Microsoft Exchange的安全機制中針對ProxyNotShell漏洞設置的安全措施,而能夠對Outlook 網頁版(OWA)展開遠端程式碼執行(RCE)攻擊。
CrowdStrike研究人員 Brian Pitchford、Erik Iker 和 Nicolas Zilio觀察多個 「Play 」勒索軟體入侵的調查後發現,該新攻擊手段迴避了「URL Rewrite」功能,發起對「自動探索」(Autodiscover)功能端點的攻擊。
該公司指出,「Play」對目標的初始存取(initial access)並非直接利用各界熟知的CVE-2022-41040漏洞,而是通過「Outlook 網頁版」端點。研究者稱該技術為「OWASSRF」,並認為可能是利用CVE-2022-41080漏洞提升存取資料權限,接著以CVE-2022-41082漏洞展開遠端程式碼執行攻擊。
其中,攻擊者利用CVE-2022-41040和CVE-2022-41080漏洞,發起伺服器端請求偽造(SSRF)攻擊,無需獲得系統權限就可以獲得系統的資料。同時,在初始存取後,攻擊者可進一步移除目標的資安防護措施,以及清除安全日至內容以隱藏入侵活動。
微軟已經在 2022 年 11 月發布的更新,釋出修補上述三個安全漏洞的補丁。不過,目前尚不清楚CVE-2022-41080 是否與 CVE-2022-41040 和 CVE-2022-41082兩個漏洞一起被駭客積極用於零時差(zero-day)攻擊。
此外,CrowdStrike指出,在上週洩漏的Python腳本的概念驗證(PoC)內容可能被「Play」勒索軟體集團用於對目標的初始存取。因此,該公司建議各組織應盡快將系統更新至最新版本,避免受到此新型攻擊手法的危害。
資料來源:The Hacker News
瀏覽 849 次