0x00 漏洞概述
CVE ID | CVE-2022-41082 | 發現時間 | 2022-09-30 |
類 型 | RCE | 等 級 | 高危 |
遠端利用 | 影響範圍 | ||
攻擊複雜度 | 使用者互動 | ||
PoC/EXP | 在野利用 | 是 |
0x01 漏洞詳情
9月29日,微軟安全響應中心發佈安全公告,公開了Microsoft Exchange Server中已被利用的2個0 day漏洞,可在經過Exchange Server身份驗證並且具有 PowerShell 操作許可權的情況下利用這些漏洞(組合利用)遠端執行惡意程式碼:
CVE-2022-41040:Microsoft Exchange Server伺服器端請求偽造 (SSRF) 漏洞
CVE-2022-41082:Microsoft Exchange Server遠端程式碼執行(RCE)漏洞
目前這些漏洞已經被利用,並發現在受感染的伺服器上部署webshell。
影響範圍
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
0x02 安全建議
微軟已經發布了相關漏洞的客戶指南,受影響客戶可參考實施指南中的緩解措施:
1.Microsoft Exchange Online 客戶無需採取任何行動。
2.本地 Microsoft Exchange 客戶應查看並應用以下 URL 重寫(URL Rewrite)說明並阻止暴露的遠端 PowerShell 埠。
緩解措施:在「IIS 管理器 -> 默認網站-> 自動發現 -> URL 重寫 -> 操作」中添加阻止規則,以阻止已知的攻擊模式。(注:如果按照建議自行安裝URL重寫模組,對Exchange功能沒有已知的影響。)
步驟:
l打開 IIS 管理器。
l展開默認網站。
l選擇自動發現。
l在功能視圖中,單擊 URL 重寫。
l在右側的「操作」窗格中,單擊「添加規則」。
l選擇請求阻止,然後單擊確定。
l添加字串「.*autodiscover\.json.*\@.*Powershell.*」(不包括引號),然後單擊「確定」。
l展開規則並選擇模式為「.*autodiscover\.json.*\@.*Powershell.*」的規則,然後單擊條件下的編輯。
l將條件輸入從 {URL} 更改為 {REQUEST_URI} 。
此外,經過認證的攻擊者如果能在存在漏洞的Exchange系統上訪問PowerShell Remoting,就可以利用CVE-2022-41082觸發RCE。建議管理員阻止以下遠端 PowerShell 埠以阻止攻擊:
HTTP:5985
HTTPS:5986
如果想檢查 Exchange Server是否已被入侵,管理員可以使用以下方式:
1.運行以下 PowerShell 命令來掃描 IIS 日誌檔案以尋找入侵跡象:
Get-ChildItem -Recurse -Path -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200’
2.使用GTSC開發的搜尋工具,基於exploit簽名,搜尋時間比使用powershell要短。
下載連結:https://github.com/ncsgroupvn/NCSE0Scanner
注:若已被攻擊,IIS 日誌中可能檢測到與ProxyShell 漏洞格式類似的利用請求:autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json %3f@evil.com。
0x03 參考連結
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
0x04 版本資訊
版本 | 日期 | 修改內容 |
V1.0 | 2022-10-01 | 首次發佈 |
