【漏洞通告】Microsoft Exchange Server远程代码执行漏洞(CVE-2022-41082)

宣布时间 2022-10-01


0x00 漏洞概述

CVE   ID

CVE-2022-41082

发现时间

2022-09-30

类    型

RCE

等    级

高危

远程利用


影响范围


攻击庞大度


用户交互


PoC/EXP


在野利用

 

0x01 漏洞详情

9月29日,微软宁静响应中心宣布宁静通告,果然了Microsoft Exchange Server中已被利用的2个0 day漏洞(ProxyNotShell),可在经过Exchange Server身份验证而且具有 PowerShell 操作权限的情况下利用这些漏洞(组合利用)远程执行恶意代码:

CVE-2022-41040:Microsoft Exchange Server服务器端请求伪造 (SSRF) 漏洞

CVE-2022-41082:Microsoft Exchange Server远程代码执行(RCE)漏洞

目前这些漏洞已经被利用,并发现在受熏染的服务器上部署webshell。

 

影响范围

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

 

0x02 宁静建议

微软已经宣布了相关漏洞的客户指南,受影响客户可参考实施指南中的缓解措施:

1.Microsoft Exchange Online 客户无需接纳任何行动。

2.当地 Microsoft Exchange 客户应检察并应用以下 URL 重写(URL Rewrite)说明并阻止袒露的远程 PowerShell 端口。

缓解措施:在“IIS 管理器 -> 默认网站 -> 自动发现 -> URL 重写 -> 操作”中添加阻止规则,以阻止已知的攻击模式。(注:如果凭据建议自行安装URL重写�?�,对Exchange功效没有已知的影响。)

步骤:

l  打开 IIS 管理器。

l  展开默认网站。

l  选择自动发现。

l  在功效视图中,单击 URL 重写。

image.png

l  在右侧的“操作”窗格中,单击“添加规则”。  

image.png

l  选择请求阻止,然后单击确定。 

image.png

l  添加字符串“.*autodiscover\.json.*\@.*Powershell.*”(不包罗引号),然后单击“确定”。 

image.png

l  展开规则并选择模式为“.*autodiscover\.json.*\@.*Powershell.*”的规则,然后单击条件下的编辑。 

image.png

l  将条件输入从 {URL} 更改为 {REQUEST_URI} 。

image.png

此外,经过认证的攻击者如果能在存在漏洞的Exchange系统上访问PowerShell Remoting,就可以利用CVE-2022-41082触发RCE。建议管理员阻止以下远程 PowerShell 端口以阻止攻击:

?  HTTP:5985

?  HTTPS:5986

如果想检查 Exchange Server是否已被入侵,管理员可以使用以下方式:

1.运行以下 PowerShell 命令来扫描 IIS 日志文件以寻找入侵迹象:

Get-ChildItem -Recurse -Path-Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

2.使用GTSC开发的搜索工具,基于exploit签名,搜索时间比使用powershell要短。

下载链接:https://github.com/ncsgroupvn/NCSE0Scanner

注:1.若已被攻击,IIS 日志中可能检测到与 ProxyShell 漏洞格式类似的利用请求:autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json %3f@evil.com。

2.缓解措施(更新)详见参考链接中的微软宁静指南。


0x03 参考链接

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

 

0x04 版本信息

版本

日期

修改内容

V1.0

2022-09-30

首次宣布

 

 

0x05 附录

抖圈为赌而生简介

抖圈为赌而生建立于1996年,是由留美博士严望佳女士创建的、拥有完全自主知识产权的信息宁静高科技企业。是国内最具实力的信息宁静产物、宁静服务解决方案的领航企业之一。

公司总部位于北京市中关村软件园抖圈为赌而生大厦,公司员工近4000人,研发团队1200余人, 技术服务团队1300余人。在全国各省、市、自治区设立分支机构六十多个,拥有笼罩全国的销售体系、渠道体系和技术支持体系。公司于2010年6月23日在深圳中小板挂牌上市。(股票代码:002439)

多年来,抖圈为赌而生致力于提供具有国际竞争力的自主创新的宁静产物和最佳实践服务,资助客户全面提升其IT基础设施的宁静性和生产效能,为打造和提升国际化的民族信息宁静工业领军品牌而不懈努力。

 

关于抖圈为赌而生

抖圈为赌而生宁静应急响应中心主要针对重要宁静漏洞的预警、跟踪和分享全球最新的威胁情报和宁静陈诉。

关注以下公众号,获取全球最新宁静资讯:

image.png