最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

CrowdStrike发现了一种针对Microsoft Exchange的新漏洞利用方法

网络安全 快米云 来源:快米云 174浏览

CrowdStrike 发现了一种针对 Microsoft Exchange 的新漏洞利用方法

  • 在调查最近的 Play勒索软件攻击时,CrowdStrike Services 发现了一种名为 OWASSRF 的新利用方法。
  • 该方法包含两个漏洞,通过 Outlook Web Access 实现远程代码执行。
  • 在新方法中,在初始访问后,威胁参与者利用合法的 Plink 和 AnyDesk 可执行文件来维护访问并在 Microsoft Exchange 服务器上执行反取证技术。

在调查各种 Play 勒索软件入侵时,CrowdStrike Services 发现了一种新的利用方法,名为 OWASSRF。它利用CVE-2022-41080和CVE-2022-41082两个漏洞,通过Outlook Web Access实现远程代码执行。新方法旨在绕过 Microsoft 为响应 ProxyNotShell 而提供的自动发现端点的 URL 重写缓解措施。

OWASSRF

在调查日志时,研究人员注意到没有证据表明利用CVE-2022-41040进行初始访问。相反,他们发现相应的请求是直接通过 Outlook Web 应用程序端点发出的。这表明以前未公开的Exchange利用方法。 

CVE-2022-41080 具有严重等级。它允许在 Exchange 服务器上进行远程权限提升,但没有关于该漏洞在野外被利用的报告。另一方面,该漏洞已在 11 月累积更新中得到修复。对于还不能应用补丁的组织,CrowdStrike 建议禁用 OWA。

当 CrowdStrike 研究人员致力于开发漏洞利用方法的概念验证时,公司外部的威胁研究人员在开放存储库中发现了攻击者的工具,下载了所有工具,将它们全部上传到 MegaUpload 并与推特帖子。该工具包括一个 Python 脚本,在执行时,研究人员可以复制在最近的 Play 勒索软件攻击中生成的日志。

分两步工作

它分两步进行,第一步是以前未知的 OWA 漏洞利用技术。第一步提供了一个 SSRF,相当于 ProxyNotShell 利用中使用的自动发现技术。第二步与 ProxyNotShell 第二步中使用的漏洞利用相同,允许通过PowerShell远程执行代码。CrowdStrike 推荐,

  • 组织应为 Exchange 应用 2022 年 11 月 8 日的补丁以防止利用,因为 ProxyNotShell 的 URL 重写缓解措施对这种利用方法无效。 
  • 如果您不能立即应用 KB5019758 补丁,您应该禁用 OWA,直到可以应用补丁。
  • 遵循 Microsoft 的建议,尽可能为非管理员用户禁用远程 PowerShell。 
  • 将高级端点检测和响应 (EDR) 工具部署到所有端点,以检测生成 PowerShell 或命令行进程的 Web 服务。CrowdStrike Falcon 将检测 OWASSRF 利用方法,如果应用了执行阻止 > 可疑进程的预防设置,则会阻止该方法。
  • 使用 CrowdStrike Services 开发的这个脚本,监视 Exchange 服务器在 IIS 和远程 PowerShell 日志中可见的利用迹象 
  • 考虑应用程序级别的控制,例如 Web 应用程序防火墙。
  • 确保 X-Forwarded-For 标头配置为记录对代理服务请求的真实外部 IP 地址

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » CrowdStrike发现了一种针对Microsoft Exchange的新漏洞利用方法