2022-12-22 10:39:03
亚汇网12月22日消息,网络安全公司安全专家在深入调查“OWASSRF”之后发现,其中常见的入口向量怀疑是MicrosoftExchangeProxyNotShell漏洞CVE-2022-41040和CVE-2022-41082。该团队还发现,对目标网络的初始访问并不是通过直接利用CVE-2022-41040实现的,而是通过OWA端点实现的。CrowdStrike研究人员在12月20日的博客文章中说:“新的利用方法绕过了微软为响应ProxyNotShell而提供的自动发现端点的URL重写缓解措施。这似乎是一种新颖的、以前未记录的方式,可以通过OWA前端端点访问PowerShell远程服务,而不是利用自动发现端点”。亚汇网了解到,虽然ProxyNotShell利用CVE-2022-41040,但CrowdStrike发现新发现的利用可能利用了另一个严重漏洞,该漏洞被跟踪为CVE-2022-41080(CVSS评分:8.8),此前滥用CVE-2022-41082进行远程代码执行。CrowdStrike补充道:“通过这种新的利用方法进行初始访问后,威胁行为者利用合法的Plink和AnyDesk可执行文件来维持访问,并在MicrosoftExchange服务器上执行反取证技术以试图隐藏他们的活动”。微软在11月的补丁星期二期间解决了上述三个漏洞。CrowdStrike首席全球专业服务官ThomasEtheridge表示:“威胁行为者可能会继续利用MicrosoftExchange漏洞并创新部署破坏性勒索软件”。
您正在访问亚汇网香港分站,本站所提供的内容均遵守中华人民共和国香港特别行政区法律法规。
