Începând cu 20 decembrie 2022, s-a observat o creștere a numărului de compromisuri ale serverului Microsoft Exchange. Atacatorii folosesc „OWASSRF”, o sinergie intre CVE-2022-41080 și CVE-2022-41082 pentru a ocoli atenuările de rescriere a adreselor URL pe care Microsoft le-a furnizat pentru ProxyNotShell, permițând execuția codului de la distanță (RCE) prin escaladarea privilegiilor pentru a instala ransomware.
Recomandam instalarea updateului (KB5019758) din noiembrie 2022
Tehnica atacatorului - PowerShell Registry Cradle
Proces suspect - PowerShell System.Net.Sockets.TcpClient
Proces suspect - Exchange Server Spawns Process
PowerShell - Script ofuscat
Webshell - IIS generează PowerShell