內容:
資安業者CrowdStrike調查勒索軟體Play的攻擊行動裡,發現駭客利用新的手法OWASSRF來攻擊Exchange,進而繞過微軟為ProxyNotShell漏洞(CVE-2022-41080和CVE-2022-41082)的緩解措施,濫用網頁版郵件管理介面Outlook Web Access(OWA)來遠端執行任意程式碼(RCE)。在成功入侵受害組織後,駭客便利用遠端存取工具Plink、AnyDesk來維持存取的管道,並於Exchange上採取反制取證的手法,來隱匿攻擊行動。
建議:
隨時關注Exchange更新。
資料來源:
https://www.ithome.com.tw/news/154819
https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/