OWASSRFとは【用語集詳細】
OWASSRFは、OWA(Outlook Web Application)を悪用したSSRF攻撃の一種です。
Playランサムウェアがこの攻撃を利用していることをCrowdStrikeが検知し、レポートを公開しています。
OWASSRFは、Microsoftが修正したExchange Serverの脆弱性であるProxyNotShell(CVE-2022-41040およびCVE-2022-41082)の無効化策を迂回する手法です。
ProxyNotShellは、エクスプロイトを用いてExchangeサーバにアクセスし、リモートコード実行を行う脆弱性であり、2022年11月に修正パッチが公開されました。
Playランサムウェアは、これまで悪用されてきたAutodiscover機能ではなくOWAを利用し、PowerShellによるリモートアクセスを行っていることが確認されています。この手法は、別のExchange Server脆弱性CVE-2022-41080に関連するとみられ、対策として2022年11月のアップデートを推奨しています。
