(资料图片仅供参考)

网络安全公司 CrowdStrike 近日在调查多款 Google Play 勒索软件后，发现了名为“OWASSRF”的新漏洞。黑客利用该漏洞绕过微软 ProxyNotShell URL 重写缓解措施，通过 Outlook Web Access（OWA）执行远程代码。

安全专家在深入调查“OWASSRF”之后发现，其中常见的入口向量怀疑是 Microsoft Exchange ProxyNotShell 漏洞 CVE-2022-41040 和 CVE-2022-41082。该团队还发现，对目标网络的初始访问并不是通过直接利用 CVE-2022-41040 实现的，而是通过 OWA 端点实现的。

CrowdStrike 研究人员在 12 月 20 日的博客文章中说：“新的利用方法绕过了微软为响应 ProxyNotShell 而提供的自动发现端点的 URL 重写缓解措施。这似乎是一种新颖的、以前未记录的方式，可以通过 OWA 前端端点访问 PowerShell 远程服务，而不是利用自动发现端点”。

IT之家了解到，虽然 ProxyNotShell 利用 CVE-2022-41040，但 CrowdStrike 发现新发现的利用可能利用了另一个严重漏洞，该漏洞被跟踪为 CVE-2022-41080（CVSS 评分：8.8），此前滥用 CVE-2022-41082 进行远程代码执行。

CrowdStrike 补充道：“通过这种新的利用方法进行初始访问后，威胁行为者利用合法的 Plink 和 AnyDesk 可执行文件来维持访问，并在 Microsoft Exchange 服务器上执行反取证技术以试图隐藏他们的活动”。

微软在 11 月的补丁星期二期间解决了上述三个漏洞。CrowdStrike 首席全球专业服务官 Thomas Etheridge 表示：“威胁行为者可能会继续利用 Microsoft Exchange 漏洞并创新部署破坏性勒索软件”。

标签：