跳到主要內容區塊

國立臺灣大學計算機及資訊網路中心

重要資安警訊

:::
:::
Microsoft Exchange Server存在重大零時差漏洞,微軟官方提供的緩解措施無法完全防堵
  • 上版日期:2022-10-12

資安廠商GTSC於2022年9月公布Microsoft Exchange Server兩個重大零時差漏洞 (Zero-Day Vulnerability),CVSS風險值均達8.8分。遠端攻擊者可透過CVE-2022-41040伺服器端請求偽造(SSRF,Server Side Request Forgery)漏洞獲取Server存取權限,呼叫內部 API,再利用CVE-2022-41082遠端執行程式碼(RCE,Remote Code Execution),以PowerShell執行任意指令。

Microsoft官方於2022年9月29日公布緩解措施,使用IIS Manager URL Rewrite轉址擴充功能,讓不具管理權限使用者無法存取PowerShell,但情資網站 BLEEPINGCOMPUTER指出這種方式仍無法完整防護內部的Exchange Server,並提供了增強防護的方案 (詳見參考連結2),但僅能阻擋已知的URL 指令,對未知或類似攻擊並無法防範。

影響範圍:
Microsoft Exchange Server 所有版本

建議緩解措施:

  1. 啟用 IIS管理員
  2. 點選「Default Web Site」
  3. 點選「URL Rewrite」
  4. 點選「新增規則」
  5. 選擇「要求封鎖」
  6. 於「模式(URL路徑)」欄位新增字串「.*autodiscover.json.*Powershell.*」。
  7. 於「使用」選擇「規則運算式」
  8. 於「封鎖方式」選擇「中止要求」
  9. 將「輸入條件」由「{URL}」修改為「{REQUEST_URI}」
  10. 加強Microsoft Exchange Server權限控管。
  11. 持續關注Microsoft官方相關修補程式,並於釋出後安裝。

亦可參考微軟緩解腳本,如下:
https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/

參考連結:

  1. GTSC:
    https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
  2. BLEEPINGCOMPUTER:
    https://www.bleepingcomputer.com/news/security/microsoft-exchange-server-zero-day-mitigation-can-be-bypassed/
  3. TWCERT/CC:
    https://www.twcert.org.tw/tw/cp-104-6592-66b51-1.html
  4. NCCST:
    https://www.nccst.nat.gov.tw/VulnerabilityDetail?lang=zh&seq=1218
  5. Microsoft:
    https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/