1. 主页
  2. 保安警报
  3. 保安警报 (A22-09-21)

高危保安警报 (A22-09-21): Microsoft Exchange Server 多个漏洞


 

发布日期: 2022年 9月 30日

  
  

描述:

Microsoft Exchange Server 中的两个零日漏洞在多个攻击活动中被发现。远端攻击者可以通过传送特制的请求,从而攻击漏洞。

Microsoft 更新了 Microsoft Exchange Server 漏洞 ( CVE-2022-41040 及 CVE-2022-41082 ) 的缓解措施。由于修补程式仍未可获取,系统管理员应立即采取 Microsoft 建议的最新缓解措施。

系统管理员应先采取以下措施。

(a) 更新URL Rewrite rule 至以下方式:

.*autodiscover\.json.*Powershell.*

(b) 修改Condition input至:

{UrlDecode:{REQUEST_URI}}

缓解措施的详细步骤可参考以下URL:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

Microsoft 发布了影响 Microsoft Exchange Server 的漏洞 ( CVE-2022-41040 及 CVE-2022-41082 ) 的详细资料。用以应对漏洞 CVE-2022-41040 及 CVE-2022-41082 的修补程式仍未可获取,但 Microsoft 提供了解决方法以减低风险。

(a) 透过限制 TCP 埠 5985 及5986 连接至互联网,禁止远端存取 PowerShell; 及

(b) 套用 Microsoft 提供的URL Rewrite Rule的程式编程以阻截已知的攻击模式:

https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/

采用此解决方法可能会减少系统功能,系统管理员在采用此解决方法之前应作适当评估。缓解措施的详细步骤可参考以下URL:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

有报告指 Microsoft Exchange Server 中的两个零日漏洞正受到攻击。系统管理员应立即采取缓解措施,并按照下列建议部分的建议检查攻击尝试,以减低受到网络攻击的风险。

 

受影响的系统:

  • Microsoft Exchange Server

 

影响:

成功利用漏洞可以在受影响的系统上导致远端执行程式码。

 

建议:

适用于受影响系统的修补程式仍未可获取,但保安供应商提供了一个解决方法,通过 IIS 伺服器上的 URL Rewrite Rule 模组阻截具有类似攻击模式的请求。系统管理员在采用此解决方法之前应作适当评估。应用缓解措施的详细步骤可参考以下内容:

  1. 在Autodiscover 的前端, 选择分页 URL Rewrite, 选择 Request Blocking
  2. 添加字串 ".*autodiscover\.json.*\@.*Powershell.*" 至URL Path
  3. 设置 condition input 至: {REQUEST_URI}

系统管理员亦应该使用以下PowerShell指令码检查 IIS 日志的攻击尝试:

Get-ChildItem -Recurse -Path &lt Path_IIS_Logs &gt -Filter "*.log" |
Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200

 

进一步信息:

  • https://www.hkcert.org/security-bulletin/microsoft-exchange-zero-day-remote-code-execution-vulnerability_20220930
  • https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
  • https://success.trendmicro.com/dcx/s/solution/000291651
  • https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/
  • https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
  • https://www.cisa.gov/uscert/ncas/current-activity/2022/09/30/microsoft-releases-guidance-zero-day-vulnerabilities-microsoft
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41040
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41082


标签 : Microsoft , Exchange Server
标签