最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

勒索软件团伙使用新的Microsoft Exchange漏洞来破坏服务器

网络安全 快米云 来源:快米云 186浏览

黑客

Play 勒索软件威胁参与者正在使用新的漏洞利用链,绕过ProxyNotShell URL 重写缓解措施,通过 Outlook Web Access (OWA) 在易受攻击的服务器上获得远程代码执行 (RCE)。

网络安全公司 CrowdStrike 在调查 Play 勒索软件攻击时发现了该漏洞(称为 OWASSRF),在该攻击中,受感染的 Microsoft Exchange 服务器被用来渗透受害者的网络。

为了在受感染的服务器上执行任意命令,勒索软件操作员利用 Remote PowerShell 滥用CVE-2022-41082,ProxyNotShell 利用了相同的错误。

“在每种情况下,CrowdStrike 都审查了相关日志,并确定没有证据表明利用 CVE-2022-41040 进行初始访问,”研究人员

“相反,相应的请求似乎是直接通过 Outlook Web 应用程序 (OWA) 端点发出的,这表明之前未公开的 Exchange 利用方法。”

虽然 ProxyNotShell 利用目标CVE-2022-41040,但 CrowdStrike 发现新发现的漏洞利用的漏洞很可能是CVE-2022-41080,这是微软标记为严重且未在野外利用的安全漏洞,允许在 Exchange 服务器上进行远程权限升级.

OWASSRF PoC 利用
OWASSRF PoC 利用(news.zzqidc.com)

CVE-2022-41080 由 zcgonvh 与 360 noah 实验室以及 rskvp93、Q5Ca 和 nxhoang99 与 Viettel Cyber​​ Security 的 VcsLab 发现并报告。

发现该漏洞的一位研究人员表示,它可以作为“本地 RCE Exchange、Exchange Online、Skype for Business Server(也许还有 SFB Online+Teams,但无法找到其 powershell 远程端点)链的一部分加以利用)。”

目前尚不清楚威胁参与者是否在发布修复程序之前滥用此 Microsoft Exchange 攻击链作为零日漏洞利用。

OWASSRF PoC 漏洞在线泄露

当 CrowdStrike 安全研究人员致力于开发他们自己的概念验证 (PoC) 代码以匹配在调查这些最近的 Play 勒索软件攻击时发现的日志信息时,Huntress Labs 威胁研究员 Dray Agha于 12 月发现并在线泄露了威胁参与者的工具14号。

泄露的工具包含 Play Exchange 漏洞利用的 PoC,它允许 CrowdStrike 复制 Play 勒索软件攻击中记录的恶意活动。

CrowdStrike 认为,概念验证漏洞用于在受感染的服务器上放置远程访问工具,例如 Plink 和 AnyDesk。

BleepingComputer 还发现 Agha 泄露的工具包含 ConnectWise 远程管理软件,该软件也可能被部署在攻击中。

建议在其网络上拥有本地 Microsoft Exchange 服务器的组织应用最新的 Exchange 安全更新(最低补丁级别为 2022 年 11 月)或禁用 OWA,直到可以应用 CVE-2022-41080 补丁。

Play 勒索软件行动于 2022 年 6 月启动,当时第一批受害者开始在BleepingComputer 论坛上寻求帮助以应对攻击的后果。

自 6 月推出以来,数十名 Play 勒索软件受害者已将样本或赎金记录上传到 ID 勒索软件平台,以确定使用了何种勒索软件来加密他们的数据。

播放勒索软件活动
播放勒索软件活动(news.zzqidc.com)

与大多数勒索软件操作不同,Play 分支机构使用 PLAY 一词和联系电子邮件地址放置简单的勒索票据。

目前,没有与此勒索软件相关的数据泄漏,也没有任何迹象表明任何数据在攻击期间被盗。

最近受到 Play 勒索软件分支机构攻击的受害者包括 德国 H-Hotels 连锁酒店、 比利时安特卫普市和 阿根廷科尔多瓦司法机构

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 勒索软件团伙使用新的Microsoft Exchange漏洞来破坏服务器