勒索病毒再次利用高危漏洞

介绍

近期安全研究人员发现了一种新的漏洞利用方法，由CVE-2022-41080和CVE-2022-41082组成，通过Outlook Web Access (OWA)实现远程代码执行(RCE)。我们发现某勒索软件利用这一漏洞通过Microsoft Exchange侵入网络。

技术细节：

研究人员最近进行的调查显示，Microsoft Exchange ProxyNotShell漏洞CVE-2022-41040和CVE-2022-41082可能是勒索软件攻击的经常利用的入口点。该勒索软件于2022年7月浮出水面。这个勒索软件在执行时会加密受害者的文件，并以.play作为文件扩展名。这种勒索软件使用双重勒索技术来攻击受害者，首先窃取受害者的数据，然后进行加密。如果受害者没有支付赎金，他们就会在他们的洋葱网站上发布被窃取的数据。到目前为止，该组织已经公开了20多名受害者的详细信息。

CVE-2022-41040可以使通过认证的攻击者远程触发CVE- 2022-41082。

CVE-2022-41040是一个服务器端请求伪造(SSRF)漏洞

CVE-2022-41082，当攻击者可以访问PowerShell时，允许远程代码执行(RCE)。

在所有案例中研究人员都检查了相关日志，没有发现任何迹象表明CVE-2022-41040已被用于最早的入侵攻击。相反，相关查询似乎是直接通过Outlook Web Application (OWA)接口发送的，这表明这是一种以前没有报道过的Exchange漏洞利用技术。

这个新发现的漏洞已经由一位研究人员发布并公开，现在相关利用代码已经在互联网上传播。ProxyNotShell以前的攻击所涉及的初始步骤包括对前端的授权请求，它用于访问Autodiscover端点，该端点用于通知客户端相关远程Microsoft Exchange服务器提供的服务。利用路径混淆漏洞CVE-2022-41040，攻击者可以访问任何URL的后端。这类漏洞的一个例子是服务器端请求伪造(SSRF)。Remote PowerShell服务是ProxyNotShell的目标后端服务。

新发现的漏洞分两步进行，第一步针对OWA。下图是针对OWA利用POC的部分。

这一初始步骤为ProxyNotShell开发中使用的Autodiscover方法提供了SSRF等效方法。第二步只是重复攻击，允许远程执行PowerShell代码，这是在ProxyNotShell的第二阶段中使用的。研究人员还表示，这个新漏洞可以绕过微软针对ProxyNotShell的缓解措施。

针对ProxyNotShell，微软为Autodiscover 端点开发了URL重写缓解措施，但新的利用方法绕过了它们。这一发现是在最近对一些Play勒索软件漏洞的调查中得出的，其中确定了Microsoft Exchange是主要入口。黑客使用合法的Plink和AnyDesk可执行文件通过这种新颖的利用方法获得访问权限后保持访问权限。