关于Microsoft Exchange Server远程代码执行0day漏洞(CVE-2022-41082)的预警提示
发布时间:2022-10-19浏览次数:831
一、漏洞详情 Microsoft Exchange Server是个消息与协作系统。Exchange server应用于企业、学校的邮件系统或免费邮件系统。 微软安全响应中心发布安全公告,公开了Microsoft Exchange Server中已被利用的2个0 day漏洞(ProxyNotShell),可在经过Exchange Server身份验证并且具有 PowerShell 操作权限的情况下利用这些漏洞(组合利用)远程执行恶意代码: CVE-2022-41040:Microsoft Exchange Server服务器端请求伪造 (SSRF) 漏洞 CVE-2022-41082:Microsoft Exchange Server远程代码执行(RCE)漏洞 目前这些漏洞已经被利用,并发现在受感染的服务器上部署webshell。 建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。 二、影响范围 Microsoft Exchange Server 2013 Microsoft Exchange Server 2016 Microsoft Exchange Server 2019 三、修复建议 微软已经发布了相关漏洞的客户指南,受影响客户可参考实施指南中的缓解措施: 1.Microsoft Exchange Online客户无需采取任何行动。 2.本地 Microsoft Exchange 客户应查看并应用以下 URL 重写(URL Rewrite)说明并阻止暴露的远程PowerShell端口。 缓解措施:在“IIS 管理器 -> 默认网站 -> 自动发现 -> URL 重写 -> 操作”中添加阻止规则,以阻止已知的攻击模式。(注:如果按照建议自行安装URL重写模块,对Exchange功能没有已知的影响。) |