- 上版日期:2022-10-12
資安廠商GTSC於2022年9月公布Microsoft Exchange Server兩個重大零時差漏洞 (Zero-Day Vulnerability),CVSS風險值均達8.8分。遠端攻擊者可透過CVE-2022-41040伺服器端請求偽造(SSRF,Server Side Request Forgery)漏洞獲取Server存取權限,呼叫內部 API,再利用CVE-2022-41082遠端執行程式碼(RCE,Remote Code Execution),以PowerShell執行任意指令。
Microsoft官方於2022年9月29日公布緩解措施,使用IIS Manager URL Rewrite轉址擴充功能,讓不具管理權限使用者無法存取PowerShell,但情資網站 BLEEPINGCOMPUTER指出這種方式仍無法完整防護內部的Exchange Server,並提供了增強防護的方案 (詳見參考連結2),但僅能阻擋已知的URL 指令,對未知或類似攻擊並無法防範。
影響範圍:
Microsoft Exchange Server 所有版本
建議緩解措施:
- 啟用 IIS管理員
- 點選「Default Web Site」
- 點選「URL Rewrite」
- 點選「新增規則」
- 選擇「要求封鎖」
- 於「模式(URL路徑)」欄位新增字串「.*autodiscover.json.*Powershell.*」。
- 於「使用」選擇「規則運算式」
- 於「封鎖方式」選擇「中止要求」
- 將「輸入條件」由「{URL}」修改為「{REQUEST_URI}」
- 加強Microsoft Exchange Server權限控管。
- 持續關注Microsoft官方相關修補程式,並於釋出後安裝。
亦可參考微軟緩解腳本,如下:
https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/
參考連結:
- GTSC:
https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html - BLEEPINGCOMPUTER:
https://www.bleepingcomputer.com/news/security/microsoft-exchange-server-zero-day-mitigation-can-be-bypassed/ - TWCERT/CC:
https://www.twcert.org.tw/tw/cp-104-6592-66b51-1.html - NCCST:
https://www.nccst.nat.gov.tw/VulnerabilityDetail?lang=zh&seq=1218 - Microsoft:
https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/