보안 연구원들이 공격자가 Microsoft Exchange Server에서 OWA(Outlook Web Access)를 통해 원격으로 코드를 실행할 수 있는 새로운 취약점을 발견했습니다.
크라우드스트라이크는 새로운 악용 방법이 온프레미스 Exchange 서버에 영향을 미치는 Microsoft 제공 ProxyNotShell 결함의 URL 또는 링크 재작성 완화를 우회하는 취약점을 사용한다고 말했습니다.
보안 공급업체는 Outlook Web Access에 대해 익스플로잇 OWASSRF 또는 서버측 요청 위조를 호출했습니다.
첫째, 클라이언트에게 원격 Microsoft Exchange 서버가 제공하는 서비스를 알리는 데 사용되는 Autodiscover 엔드포인트는 프런트 엔드 인증자 요청을 사용하여 도달한다고 Crowdstrike 연구원은 말했습니다.
공격자가 임의 URL의 백엔드에 액세스할 수 있도록 하는 경로 난독화 익스플로잇인 CVE-2022-41040을 사용하여 액세스합니다.
이러한 유형의 취약점을 서버측 요청 위조(SSRF)라고 합니다.
ProxyNotShell의 경우 대상 백엔드 서비스는 PowerShell 원격 서비스입니다.
새로운 익스플로잇에 대한 코드가 유출된 것은 개념 증명 링크였습니다. 출판하다 Huntresslabs 보안 연구원 Dray Agha가 트위터에.
Agha는 공개 저장소에서 공격자의 툴킷을 찾아 모두 다운로드했습니다.
Crowdstrike는 Agha에서 게시한 Python 스크립트를 사용하여 최근 공격에서 로그 파일 항목을 복제할 수 있었습니다.
크라우드스트라이크 발견하다 ProxyNotShell 완화 우회 보안 회사가 Play 랜섬웨어 침입을 조사했을 때 일반적인 진입 벡터는 Microsoft Exchange였습니다.
Exchange Server는 파일입니다. 공동의 목표 해커의 경우 최근에 많은 익스플로잇과 공격이 기록되었습니다.
높은 지위 공격 Rackspace는 고객이 안도감을 위해 Microsoft 365로 이동하라는 지시를 받았기 때문에 호스팅된 Exchange 서비스를 클라우드 제공업체에서 제거했습니다.
며칠 후, rackspace 확인되었습니다 이 중단은 알 수 없는 사람들의 랜섬웨어 공격으로 인해 회사의 지원 기술자가 고객을 위해 시간이 많이 걸리는 데이터 복구 프로세스를 수행하도록 했습니다.
랙스페이스 그는 말했다 Crowdstrike는 랜섬웨어 공격을 조사하기 위해 고용했습니다.
Crowdstrike는 URL 재작성 완화가 ProxyNotShell에 효과적이지 않기 때문에 Exchange 관리자는 익스플로잇을 방지하기 위해 Microsoft의 11월 패치를 적용해야 한다고 말했습니다.
Exchange 서버를 즉시 패치할 수 없는 관리자는 가능한 한 빨리 OWA를 비활성화하고 가능한 경우 일반 사용자에 대해 원격 PowerShell을 비활성화하라는 Microsoft의 권장 사항을 따라야 합니다.
“트위터를 통해 다양한 주제에 대한 생각을 나누는 아 동율은 정신적으로 깊이 있습니다. 그는 맥주를 사랑하지만, 때로는 그의 무관심함이 돋보입니다. 그러나 그의 음악에 대한 열정은 누구보다도 진실합니다.”