微軟Exchange伺服器的RCE零時差弱點,更新緩解措施

風險等級: 高度威脅
摘 要: 【弱點說明】

事件通告:微軟Exchange伺服器的RCE零時差弱點,更新緩解措施

【影響範圍】

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

【細節描述】

Microsoft 發布了針對影響 Microsoft Exchange Server 2013、Exchange Server 2016 和 Exchange Server 2019 的兩個零日弱點的安全更新。第一個弱點被標識為CVE-2022-41040,是服務器端請求偽造 (SSRF),第二個弱點,標識為CVE-2022-41082,當攻擊者可以訪問 PowerShell 時允許遠端執行程式碼 (RCE)。
目前,Microsoft 知道使用這兩個弱點的有限針對性攻擊。在這些攻擊中,CVE-2022-41040可以使經過身份驗證的攻擊者遠端觸發CVE-2022-41082。應該注意的是,成功利用任一弱點都需要對易受攻擊的 Exchange Server 進行身份驗證訪問。
緩解措施:
選項一.對於啟用了 Exchange 緊急緩解服務 (EEMS) 的客戶,Microsoft 發布了適用於 Exchange Server 2016 和 Exchange Server 2019 的 URL 重寫緩解措施。緩解措施會自動啟用並更新為包括 URL 重寫規則改進。
選項二.Microsoft 為 URL 重寫緩解步驟創建了 EOMTv2 腳本,並對其進行了更新以包括 URL 重寫規則改進。EOMTv2 腳本將在聯網機器上自動更新,更新後的版本將顯示為 22.10.07.2029。該腳本應在未啟用 EEMS 的任何 Exchange Server 上重新運行。
選項三.客戶可以按照以下說明進行操作,其中包括第 6 步字符串更新。遵循以下步驟後,可以刪除先前為此緩解創建的規則。
1. 打開 IIS 管理器。
2. 選擇默認網站。
3. 在功能視圖中,單擊 URL 重寫。
4. 在右側的操作窗格中,單擊添加規則。
5. 選擇請求阻止並單擊確定。
6. 添加字串“ (?=.*autodiscover)(?=.*powershell) ”(不包括引號)。
7. 選擇使用下的正則表達式。
8. 在如何阻止下選擇中止請求,然後單擊確定。
9. 展開規則並選擇具有以下模式的規則:(?=.*autodiscover)(?=.*powershell)並單擊條件下的編輯。
10. 將Condition 輸入從 {URL} 更改為 {UrlDecode:{REQUEST_URI}},然後單擊 OK。
微軟官方也已釋出弱點安全性更新,建議管理者參考官網評估更新。

【建議措施】

Microsoft 官方網站已釋出弱點安全性更新,建議參考官網的說明進行更新:
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045
Microsoft Exchange Server 2013 CU23之後版本
Microsoft Exchange Server 2016 CU22之後版本
Microsoft Exchange Server 2019 CU11之後版本

【更新紀錄】

  • 更新建議措施
參考資訊: Microsoft
Microsoft
CVE-2022-41040
CVE-2022-41082

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *