Princip exploitace je mi znám dobře, analyzoval jsem minulý týden dva incidenty s hackem Exchange. Že útočníci používali PowerShell na již zkompromitovaném serveru ještě neznamená, že zranitelnost je v PS. Mimochodem, ty zranitelnosti jsou celkem 4, ta vstupní (SSRF) se prostřeluje právě přes OWA (nebo ECP, kde to funguje taky), v logách jsou na začátku útoku požadavky na neexistující statický objekt v cestách /owa/ nebo /ecp/ a šikovně upravené cookies, které normálně řídí servírování obsahu - striktně vzato, není tato zranitelnost přímo v kódu vlastní aplikace OWA/ECP (BE website na portu 444), ale v URI namespace OWA/ECP na FE proxy před nimi (FE website na portu 443). Další tři zranitelnosti, které se používají v sérii s tou vstupní, se týkají UM (elevace oprávnění pomocí insecure deserializace objektu) a nekontrolovaných vstupů možňujících zápis soborů.
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/