【漏洞通告】Microsoft Exchange Server遠端程式碼執行漏洞(CVE-2022-41082)

0x00 漏洞概述

CVE ID

CVE-2022-41082

發現時間

2022-09-30

類 型

RCE

等 級

高危

遠端利用

影響範圍

攻擊複雜度

使用者互動

PoC/EXP

在野利用

0x01 漏洞詳情

9月29日,微軟安全響應中心發佈安全公告,公開了Microsoft Exchange Server中已被利用的2個0 day漏洞,可在經過Exchange Server身份驗證並且具有 PowerShell 操作許可權的情況下利用這些漏洞(組合利用)遠端執行惡意程式碼:

CVE-2022-41040:Microsoft Exchange Server伺服器端請求偽造 (SSRF) 漏洞

CVE-2022-41082:Microsoft Exchange Server遠端程式碼執行(RCE)漏洞

目前這些漏洞已經被利用,並發現在受感染的伺服器上部署webshell。

影響範圍

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

0x02 安全建議

微軟已經發布了相關漏洞的客戶指南,受影響客戶可參考實施指南中的緩解措施:

1.Microsoft Exchange Online 客戶無需採取任何行動。

2.本地 Microsoft Exchange 客戶應查看並應用以下 URL 重寫(URL Rewrite)說明並阻止暴露的遠端 PowerShell 埠。

緩解措施:在「IIS 管理器 -> 默認網站-> 自動發現 -> URL 重寫 -> 操作」中添加阻止規則,以阻止已知的攻擊模式。(注:如果按照建議自行安裝URL重寫模組,對Exchange功能沒有已知的影響。)

步驟:

l打開 IIS 管理器。

l展開默認網站。

l選擇自動發現。

l在功能視圖中,單擊 URL 重寫。

l在右側的「操作」窗格中,單擊「添加規則」。

l選擇請求阻止,然後單擊確定

l選擇請求阻止,然後單擊確定。

l選擇請求阻止,然後單擊確定

l添加字串「.*autodiscover\.json.*\@.*Powershell.*」(不包括引號),然後單擊「確定」。

l展開規則並選擇模式為「.*autodiscover\.json.*\@.*Powershell.*」的規則,然後單擊條件下的編輯。

l將條件輸入從 {URL} 更改為 {REQUEST_URI} 。

此外,經過認證的攻擊者如果能在存在漏洞的Exchange系統上訪問PowerShell Remoting,就可以利用CVE-2022-41082觸發RCE。建議管理員阻止以下遠端 PowerShell 埠以阻止攻擊:

HTTP:5985

HTTPS:5986

如果想檢查 Exchange Server是否已被入侵,管理員可以使用以下方式:

1.運行以下 PowerShell 命令來掃描 IIS 日誌檔案以尋找入侵跡象:

Get-ChildItem -Recurse -Path -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200’

2.使用GTSC開發的搜尋工具,基於exploit簽名,搜尋時間比使用powershell要短。

下載連結:https://github.com/ncsgroupvn/NCSE0Scanner

注:若已被攻擊,IIS 日誌中可能檢測到與ProxyShell 漏洞格式類似的利用請求:autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json %3f@evil.com。

0x03 參考連結

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

0x04 版本資訊

版本

日期

修改內容

V1.0

2022-10-01

首次發佈

相關文章

CNNVD通報Oracle多個安全漏洞

CNNVD通報Oracle多個安全漏洞

近日,CNNVD通報Oracle多個安全漏洞,其中Oracle產品本身漏洞60個,影響到Oracle產品的其他廠商漏洞247個。包括Orac...

CNNVD 通報微軟多個安全漏洞

CNNVD 通報微軟多個安全漏洞

近日,CNNVD(國家資訊安全漏洞庫)正式通報微軟多個安全漏洞,其中微軟產品本身漏洞77個,影響到微軟產品的其他廠商漏洞8個。包括Micro...