1. 主頁
  2. 保安警報
  3. 保安警報 (A22-09-21)

高危保安警報 (A22-09-21): Microsoft Exchange Server 多個漏洞


 

發布日期: 2022年 9月 30日

  
  

描述:

Microsoft Exchange Server 中的兩個零日漏洞在多個攻擊活動中被發現。遠端攻擊者可以通過傳送特製的請求,從而攻擊漏洞。

Microsoft 更新了 Microsoft Exchange Server 漏洞 ( CVE-2022-41040 及 CVE-2022-41082 ) 的緩解措施。由於修補程式仍未可獲取,系統管理員應立即採取 Microsoft 建議的最新緩解措施。

系統管理員應先採取以下措施。

(a)         更新URL Rewrite rule 至以下方式:

.*autodiscover\.json.*Powershell.*

(b)         修改Condition input至:

{UrlDecode:{REQUEST_URI}}

緩解措施的詳細步驟可參考以下URL:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

Microsoft 發布了影響 Microsoft Exchange Server 的漏洞 ( CVE-2022-41040 及 CVE-2022-41082 ) 的詳細資料。用以應對漏洞 CVE-2022-41040 及 CVE-2022-41082 的修補程式仍未可獲取,但 Microsoft 提供了解決方法以減低風險。

為減低受到網絡攻擊的風險,系統管理員應先採取以下措施。

(a) 透過限制 TCP 埠 5985 及5986 連接至互聯網,禁止遠端存取 PowerShell; 及

(b) 套用 Microsoft 提供的URL Rewrite Rule的程式編程以阻截已知的攻擊模式:

https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/

採用此解決方法可能會減少系統功能,系統管理員在採用此解決方法之前應作適當評估。緩解措施的詳細步驟可參考以下URL:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

有報告指 Microsoft Exchange Server 中的兩個零日漏洞正受到攻擊。系統管理員應立即採取緩解措施,並按照下列建議部分的建議檢查攻擊嘗試,以減低受到網絡攻擊的風險。

 

受影響的系統:

  • Microsoft Exchange Server

 

影響:

成功利用漏洞可以在受影響的系統上導致遠端執行程式碼。

 

建議:

適用於受影響系統的修補程式仍未可獲取,但保安供應商提供了一個解決方法,通過 IIS 伺服器上的 URL Rewrite Rule 模組阻截具有類似攻擊模式的請求。系統管理員在採用此解決方法之前應作適當評估。應用緩解措施的詳細步驟可參考以下內容:

  1. 在Autodiscover 的前端, 選擇分頁 URL Rewrite, 選擇 Request Blocking
  2. 添加字串 ".*autodiscover\.json.*\@.*Powershell.*" 至URL Path
  3. 設置 condition input 至: {REQUEST_URI}

系統管理員亦應該使用以下PowerShell指令碼檢查 IIS 日誌的攻擊嘗試:

Get-ChildItem -Recurse -Path &lt Path_IIS_Logs &gt -Filter "*.log" |
Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200

 

進一步資訊:

  • https://www.hkcert.org/security-bulletin/microsoft-exchange-zero-day-remote-code-execution-vulnerability_20220930
  • https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
  • https://success.trendmicro.com/dcx/s/solution/000291651
  • https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/
  • https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
  • https://www.cisa.gov/uscert/ncas/current-activity/2022/09/30/microsoft-releases-guidance-zero-day-vulnerabilities-microsoft
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41040
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41082


標籤 : Microsoft , Exchange Server
標籤