Play ransomware napada Microsoft Exchange servere

Sigurnosni istraživači kompanije CrowdStrike su otkrili da Play ransomware koristi novu metodu za iskorištavanje poznatih ranjivosti CVE-2022-41080 i CVE-2022-41082, odnosno NotProxyShell ranjivosti.

ms-exchange-cve

Microsoft Exchange OWASSRF ranjivost; Desing by Saša Đurić

Ova ranjivost zaobilazi ProxyNotShell ispravak za ponovno pisanje URL-a, kako bi se postiglo daljinsko izvršenje kôda na ranjivim serverima preko Outlook Web pristupa. Ranjivost je nazvana OWASSRF i može se zaustaviti samo primjenom sigurnosnog ažuriranja za Microsoft Exchange iz novembra 2022. godine.

 

Nakon dobijanja pristupa serveru, zlonamjerni akteri koriste legalne aplikacije Plink, AnyDesk i ConnectWise  kako bi zadržali pristup i onemogućili forenzičke tehnike pokušavajući da što duže sakriju svoje aktivnosti. Organizacije koje koriste lokalni Microsoft Exchange server bi trebalo da onemoguće Outlook Web Application (OWA) sve dok ne primjene sigurnosno ažuriranje za ranjivost CVE-2022-41080 ili da primjene posljednja dostupna ažuriranja za Exchange server sa tim da je ažuriranje iz novembra 2022. godine minimum.

 

Sigurnosni istraživači iz kompanije CrowdStrike su objavili detaljne informacije ovdje.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.