发布编号:TACERT-ANA-2022100711103131
发布时间:2022-10-07 11:46:31
事故类型:ANA-漏洞预警
发现时间:2022-10-06 10:01:52
影响等级:低
[主旨说明:]
【漏洞预警】微软Microsoft Exchange Server存在安全漏洞(CVE-2022-41040与CVE-2022-41082),允许攻击者远端执行任意程式码,请尽速确认并评估采取缓解措施
[内容说明:]
转发 国家资安资讯分享与分析中心 NISAC-ANA-202210-0333
研究人员发现Microsoft Exchange Server存在ProxyNotShell安全漏洞,分别为服务器端请求伪造(SSRF)漏洞(CVE-2022-41040)与PowerShell远端执行程式码(RCE)漏洞(CVE-2022-41082),远端攻击者可串连上述漏洞绕过身分验证机制并提升权限后,进而远端执行任意程式码
[影响平台:]
影响版本如下:
● Microsoft Exchange Server 2013 Cumulative Update 23
● Microsoft Exchange Server 2016 Cumulative Update 22、23
● Microsoft Exchange Server 2019 Cumulative Update 11、12
[建议措施:]
一、目前微软官方尚未针对此漏洞释出更新程式,建议评估是否先行采取缓解措施,执行步骤如下:
1.开启IIS管理员。
2.选择「Default Web Site」。
3.于右侧功能列中点击「URL Rewrite」。
4.于右侧操作窗格动作中点击「新增规则」。
5.选择「要求封锁」并按下「确定」。
6.于「模式(URL路径)」字段新增字串「.*autodiscover.json.*Powershell.*」。
7.于「使用」下拉式选单选择「规则运算式」。
8.于「封锁方式」下拉式选单选择「中止要求」并按下「确定」。
9.展开并点击规则进行编辑,在「检查输入字串是否为」下拉式选单选择「符合模式」,确认「模式」字段内容为「.*autodiscover.json.*Powershell.*」。
10.将「条件输入」字段内容由「{URL}」修改为「{REQUEST_URI}」并按下「确定」。 注:若需变更任何规则,建议删除既有规则并重新建立。
二、请持续注意微软官方资讯,并于释出修补程式后尽速安装
1. https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41040
2. https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41082
[参考资料:]
1. Mitigation for Exchange Zero-Days Bypassed! Microsoft Issues New Workarounds
3. 【资安日报】2022年10月4日,微软针对Exchange零时差漏洞提出的缓解措施可被轻易绕过、美国防承包商遭勒索软件BlackCat攻击
4. https://nvd.nist.gov/vuln/detail/CVE-2022-41040
5. https://nvd.nist.gov/vuln/detail/CVE-2022-41082
6. https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41040
7. https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41082
8. Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server
9. Analyzing attacks using the Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082
(此通报仅在于告知相关资讯,并非为资安事件),如果您对此通报的内容有疑问或有关于此事件的建议,欢迎与我们连络。
教育机构资安通报应变小组
网址:https://info.cert.tanet.edu.tw/
专线电话:07-5250211
网络电话:98400000
E-Mail:service@cert.tanet.edu.tw
