用于破坏服务器的新 Microsoft Exchange 漏洞

一段时间以来，Play 勒索软件一直是企业和组织的主要威胁，其背后的威胁行为者不断寻找新的方法来渗透和破坏系统。 在最近的一次开发中，网络安全公司 CrowdStrike 发现 Play 勒索软件威胁参与者正在使用一种名为 OWASSRF 的新 Microsoft Exchange 漏洞来远程访问服务器并提供恶意软件。

该漏洞允许威胁参与者绕过 ProxyNotShell URL 重写缓解措施，并通过 Outlook Web Access (OWA) 在易受攻击的服务器上获得远程代码执行 (RCE)。 为了在受感染的服务器上执行任意命令，勒索软件操作员利用 Remote PowerShell 滥用 CVE-2022-41082 漏洞。

这个新的漏洞利用链特别令人担忧，因为它针对 Microsoft Exchange 服务器，这是许多组织的关键组件。 此服务器管理组织内的电子邮件通信，而此服务器的危害可能会产生深远的影响。 使用 OWASSRF 漏洞利用链，Play 勒索软件背后的威胁行为者可以通过 Exchange 服务器渗透到受害者的网络，可能允许他们访问敏感数据并中断操作。

组织如何保护自己免受 OWASSRF 漏洞利用链的攻击？

Microsoft 将 CVE-2022-41082 漏洞评为“严重”漏洞，因为它允许在 Exchange 服务器上进行远程权限提升。 该公司还表示，他们没有证据表明该漏洞在野外被利用。 因此，很难确定在补丁可用之前是否有人利用该漏洞作为零日漏洞。

为了防止 OWASSRF 漏洞利用链，微软建议拥有本地 Exchange 服务器的组织至少应用 2022 年 11 月的累积更新。 如果这不可能，他们建议禁用 OWA 作为预防措施。

此外，Microsoft 将于 2023 年 1 月上旬永久禁用 Exchange Online 基本身份验证，以保护其客户。 “从 1 月初开始，我们将在进行配置更改以禁用范围内协议的基本身份验证使用前大约 7 天向受影响的租户发送消息中心帖子，”该公司表示。