勒索病毒再次利用高危漏洞

　　介绍
　　近期安全研究人员发现了一种新的漏洞利用方法，由CVE202241080和CVE202241082组成，通过OutlookWebAccess（OWA）实现远程代码执行（RCE）。我们发现某勒索软件利用这一漏洞通过MicrosoftExchange侵入网络。
　　技术细节：
　　研究人员最近进行的调查显示，MicrosoftExchangeProxyNotShell漏洞CVE202241040和CVE202241082可能是勒索软件攻击的经常利用的入口点。该勒索软件于2022年7月浮出水面。这个勒索软件在执行时会加密受害者的文件，并以。play作为文件扩展名。这种勒索软件使用双重勒索技术来攻击受害者，首先窃取受害者的数据，然后进行加密。如果受害者没有支付赎金，他们就会在他们的洋葱网站上发布被窃取的数据。到目前为止，该组织已经公开了20多名受害者的详细信息。
　　CVE202241040可以使通过认证的攻击者远程触发CVE202241082。
　　CVE202241040是一个服务器端请求伪造（SSRF）漏洞
　　CVE202241082，当攻击者可以访问PowerShell时，允许远程代码执行（RCE）。
　　在所有案例中研究人员都检查了相关日志，没有发现任何迹象表明CVE202241040已被用于最早的入侵攻击。相反，相关查询似乎是直接通过OutlookWebApplication（OWA）接口发送的，这表明这是一种以前没有报道过的Exchange漏洞利用技术。
　　这个新发现的漏洞已经由一位研究人员发布并公开，现在相关利用代码已经在互联网上传播。ProxyNotShell以前的攻击所涉及的初始步骤包括对前端的授权请求，它用于访问Autodiscover端点，该端点用于通知客户端相关远程MicrosoftExchange服务器提供的服务。利用路径混淆漏洞CVE202241040，攻击者可以访问任何URL的后端。这类漏洞的一个例子是服务器端请求伪造（SSRF）。RemotePowerShell服务是ProxyNotShell的目标后端服务。
　　新发现的漏洞分两步进行，第一步针对OWA。下图是针对OWA利用POC的部分。
　　这一初始步骤为ProxyNotShell开发中使用的Autodiscover方法提供了SSRF等效方法。第二步只是重复攻击，允许远程执行PowerShell代码，这是在ProxyNotShell的第二阶段中使用的。研究人员还表示，这个新漏洞可以绕过微软针对ProxyNotShell的缓解措施。
　　针对ProxyNotShell，微软为Autodiscover端点开发了URL重写缓解措施，但新的利用方法绕过了它们。这一发现是在最近对一些Play勒索软件漏洞的调查中得出的，其中确定了MicrosoftExchange是主要入口。黑客使用合法的Plink和AnyDesk可执行文件通过这种新颖的利用方法获得访问权限后保持访问权限。