محققای crowdstrike یه گزارشی منتشر کردن در خصوص استفاده گروه باج افزاری PLAY از آسیب پذیری ProxyNotShell برای هدف قرار دادن سرورهای Exchange .
اما نکته ای که در این خصوص هستش اینکه اینا تونستن اقدامات کاهشی که مایکروسافت اعمال کرده رو هم دور بزنن.
آسیب پذیری ProxyNotShell ترکیبی از دو آسیب پذیری CVE-2022-41040 که یه آسیب پذیری SSRF هستش و آسیب پذیری CVE-2022-41082 که یه آسیب پذیری RCE هستش.
هر دو آسیب پذیری در سپتامبر گزارش شد و مایکروسافت در نوامبر اونا رو اصلاح کرد.
با آسیب پذیری CVE-2022-41040 مهاجم به Autodiscover میرسه و میتونه یسری URL خاص دسترسی داشته باشه و بعدش با آسیب پذیری CVE-2022-41082 میتونه کد دلخواه اجرا کنه.
مایکروسافت یسری اقدامات کاهشی برای جلوگیری از بازنویسی URL در Autodiscover ارائه داد.
حالا این گروه باج افزاری تونستن با یه تکنیک جدید این اقدامات رو دور بزنن و باج افزارشون رو تو هدف اجرا کنن. محققا این زنجیره اکسپلویت جدید رو OWASSRF نامیدن.
تو این روش مهاجمین از Outlook Web Application یا همون OWA بجای Autodiscover استفاده میکنن و میتونن دسترسی remote PowerShell بگیرن.
این آسیب پذیری شبیه CVE-2022-41080 هستش که یه آسیب پذیری افزایش امتیاز در سرورهای Exchange 2016 و 2019 هستش. البته این آسیب پذیری هم در نوامبر اصلاح شده .
توصیه شده سازمانها بروزرسانی نوامبر رو اعمال کنن و همچنین remote PowerShell رو برای کاربران غیر مدیریتی غیر فعال کنن و از EDRهایی استفاده کنن که بتونن حملات احتمالی رو تشخیص بدن.