OWASSRF：CrowdStrike发现Exchange绕过ProxyNotShell缓解措施的新攻击方法

CrowdStrike最近发现了一种新的漏洞利用方法由CVE-2022 - 41080和CVE-2022 - 41082组成，通过Outlook Web Access（OWA）实现远程代码执行（RCE）。新的利用漏洞攻击方法绕过URL重写缓解措施自动发现Microsoft提供的终结点以响应代理非外壳。 这一发现是最近CrowdStrike服务公司对几起播放勒索软件入侵进行调查的一部分，这些入侵的共同进入向量被确认为Microsoft Exchange。

OWASSRF：CrowdStrike发现Exchange绕过ProxyNotShell缓解措施的新攻击方法

• CrowdStrike最近发现了一种新的漏洞利用方法（称为奥瓦斯夫）由CVE-2022 - 41080和CVE-2022 - 41082组成，通过Outlook Web Access（OWA）实现远程代码执行（RCE）。新的利用漏洞攻击方法绕过URL重写缓解措施自动发现Microsoft提供的终结点以响应代理非外壳。
• 这一发现是CrowdStrike Services最近对几起Play勒索软件入侵的调查的一部分，其中常见的入口向量被证实是Microsoft Exchange。
• 在通过这种新的利用方法进行初始访问后，威胁行为者利用合法的Plink和AnyDesk可执行文件来维护访问权限，并在Microsoft Exchange服务器上执行反取证技术，试图隐藏他们的活动。

CrowdStrike Services最近调查了几起Play勒索软件入侵事件，其中常见的入口向量被怀疑是Microsoft Exchange ProxyNotShell漏洞CVE-2022-41040和CVE-2022-41082。在每个案例中，CrowdStrike都审查了相关日志，并确定没有证据表明CVE-2022-41040被用于初始访问。相反，相应的请求似乎是直接通过Outlook Web Application (OWA)端点发出的，这表明Exchange存在一种之前未披露的利用方法。




ProxyNotShell和Exchange架构入门


Microsoft Exchange服务器由两个主要组件组成:前端(也称为客户端访问服务)和后端。前端负责处理所有客户端连接，并将任何给定的请求代理到适当的后端服务。后端服务负责处理发送到前端的特定请求，例如url，也称为端点。简化的Exchange 2016体系结构如图1所示。

在传统的ProxyNotShell攻击链的情况下，攻击序列分两步完成:
首先，通过向前端发送经过身份验证的请求访问Autodiscover端点，该端点用于通知客户机有关远程Microsoft Exchange服务器提供的服务。它使用路径混淆漏洞CVE-2022-41040进行访问，允许攻击者到达任意url的后端。这种类型的漏洞被称为服务器端请求伪造(SSRF)。对于ProxyNotShell，目标后端服务是Remote PowerShell服务。
向前端发送利用CVE-2022-41040上的SSRF漏洞的典型web请求涉及一些引用自动发现端点的路径混淆变化，如下所示:

典型的ProxyNotShell开发的后端请求如下所示:

一旦可以到达PowerShell远程服务，第二步就是利用漏洞CVE-2022-41082来执行任意命令。显示对PowerShell后端访问的典型日志条目在远程PowerShell HTTP日志中详细描述，位于C:\Program Files\Microsoft\Exchange Server\V15\Logging\CmdletInfra\Powershell-Proxy\Http\，例如下面的例子:



新利用漏洞方法发现
CrowdStrike事件响应人员发现远程PowerShell日志与ProxyNotShell利用日志条目相似，以获得初始访问权限，这表明攻击者利用了远程PowerShell。这些日志条目的示例如下所示：

通过将远程PowerShell HTTP日志中的用户、IP地址和cafeReqIdGUID关联到Exchange前端，CrowdStrike发现使用www.example.com邮箱的POST请求[email protected]指向以下OWA URL：https://{exchange_host}/owa/{email_address]/powershell,对应于下面的IIS日志项:

新攻击链的后端请求类似于以下示例：

此请求似乎显示了一种新颖的、以前未记录的方法，通过OWA前端端点访问PowerShell远程处理服务，而不是利用自动发现终点。
CrowdStrike事件响应人员发现，受影响的后端Exchange服务器上重命名的Plink和AnyDesk可执行文件创建时间戳与远程PowerShell日志中的PowerShell执行事件密切相关，表明威胁行为者利用新发现的漏洞利用链来丢弃其他工具，以便持久访问受影响的Exchange服务器。威胁操作者清除了受影响的后端Exchange服务器上的Windows事件日志，因此无法获得有关威胁操作者使用的PowerShell命令的进一步信息。当CrowdStrike研究人员后来重现攻击时，PowerShell事件日志中出现了从PowerShell创建任意进程的事件。


威胁参与者POC泄漏


CrowdStrike安全研究人员正致力于为一种利用方法开发概念验证（POC）代码，该方法指示最近的Play勒索软件攻击后出现的日志记录。与此同时，CrowdStrike之外的一名威胁研究人员通过一个开放的存储库发现了攻击者的工具，下载了所有工具，并通过Twitter帖子中的MegaUpload链接提供了这些工具。泄露的工具包括一个Python脚本poc.py，当执行该脚本时，CrowdStrike研究人员会复制最近Play勒索软件攻击中生成的日志。
该代码分两步工作。第一步是以前未知的OWA利用技术，如图2中的威胁参与者利用代码片段所示。

第一步提供SSRF等效于自动发现ProxyNotShell攻击中使用技术。第二步与ProxyNotShell第二步中使用的漏洞相同，允许通过PowerShell远程处理执行代码。
CrowdStrike研究人员在没有收到2022年11月8日补丁KB 5019758的Exchange系统上复制了利用方法攻击，但无法在收到该补丁的系统上复制攻击。修补程序中更正了两（2）个权限提升漏洞。第一个，CVE-2022-41123，已被ZDI揭示为DLL劫持，原因是通过特权执行命令加载了不存在的组件。第二个，CVE-2022-41080，尚未公开详细信息，但其CVSS评分为8.8，与ProxyNotShell漏洞利用链中使用的CVE-2022-41040相同，并被标记为“更有可能被利用”。基于这些发现，CrowdStrike评估认为，所采用的OWA技术实际上很可能与CVE-2022-41080相关。
ProxyNotShell和我们称为OWASSRF的新发现的漏洞利用方法之间的区别在图3中突出显示。



新的攻击方法绕过Microsoft针对ProxyNotShell的缓解措施
为了防止ProxyNotShell在较旧的Microsoft Exchange服务器上被利用，Microsoft发布了一个博客4提倡一种习俗重写规则位于支持Exchange的Microsoft IIS服务器内部。此规则旨在将任何传入请求的解码URI与正则表达式匹配(?=.*autodiscover)(?=.*powershell), 因此，当解码的URI与此正则表达式匹配时，请求将被丢弃。对于较新的内部部署服务器，Microsoft通过Exchange紧急缓解服务提供了相同的规则，它会自动安装它。正则表达式以及规则将仅匹配对自动发现Microsoft Exchange服务器的终结点。在这里描述为OWASSRF的利用方法的情况下，自动发现则不使用端点，并且不会丢弃请求。


参考链接：
https://learn.microsoft.com/en-us/exchange/architecture/architecture?view=exchserver-2019
https://twitter.com/Purp1eW0lf/status/1602989967776808961?s=20
https://attack.mitre.org/techniques/T1574/001/
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
https://learn.microsoft.com/en-us/exchange/exchange-emergency-mitigation-service?view=exchserver-2019