一个新的MicrosoftExchange漏洞被用来攻击服务器

研究人员透露，一个新的MicrosoftExchange漏洞正被用来攻击服务器并提供远程访问工具和远程管理软件。

CrowdStrike的网络安全专家在调查Play勒索软件攻击时偶然发现了一个新的漏洞利用链。经过进一步分析，得出的结论是，利用链绕过了ProxyNotShellURL重写漏洞的缓解措施，允许威胁参与者在目标端点上远程执行代码(RCE)特权(在新标签页中打开).

他们将此漏洞称为OWASSRF，并解释说攻击者利用RemotePowerShell滥用被跟踪为CVE-2022-41080和CVE-2022-41082的漏洞。

Exchange服务器上的特权扩展

“看起来相应的请求是直接通过OutlookWeb应用程序(OWA)端点发出的，这表明以前未公开的Exchange利用方法，”研究人员在博客文章中解释道(在新标签页中打开).

当微软首次发现CVE-2022-41080时，它给了它一个“严重”的评级，因为它允许在Exchange服务器上远程提升权限，但也补充说没有证据表明该漏洞正在被利用。因此，即使在补丁可用之前，也很难确定该漏洞是否被滥用为零日漏洞。

但是，该补丁已经可用，建议所有拥有本地MicrosoftExchange服务器的组织至少应用2022年11月的累积更新以确保安全。如果他们目前无法应用补丁，建议禁用OWA。

CrowdStrike认为，攻击者利用该漏洞提供远程访问工具Plink和AnyDesk，以及ConnectWise远程管理软件。

MicrosoftExchange服务器是网络犯罪分子的热门目标，但该公司很清楚这一事实，并一直在部署各种解决方案来尝试确保其客户的安全。除其他外，它宣布将在2023年1月上旬永久关闭ExchangeOnline基本身份验证。

“从1月初开始，我们将在我们进行配置更改以永久禁用范围内协议的基本身份验证使用前大约7天向受影响的租户发送消息中心帖子，”该公司表示。“在基本身份验证被永久禁用后不久，任何使用基本身份验证连接到受影响协议之一的客户端或应用程序都将收到错误的用户名/密码/HTTP401错误。”

多年来，微软一直警告用户，ExchangeOnline基本身份验证最终将被淘汰，取而代之的是更现代的身份验证方法。