GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Microsoft Exchange Server远程代码执行缝隙（CVE-2022-41082）

颁布功夫 2022-10-01

0x00 缝隙概述

CVE ID	CVE-2022-41082	发现功夫	2022-09-30
类型	RCE	等级	高危
远程利用		影响领域
攻击复杂度		用户交互
PoC/EXP		在野利用	是

0x01 缝隙详情

9月29日，微软安全响应中心颁布安全布告，公开了Microsoft Exchange Server中已被利用的2个0 day缝隙（ProxyNotShell），可在经过Exchange Server身份验证并且拥有 PowerShell 操作权限的情况下利用这些缝隙（组合利用）远程执行恶意代码：

CVE-2022-41040：Microsoft Exchange Server服务器端要求伪造 (SSRF) 缝隙

CVE-2022-41082：Microsoft Exchange Server远程代码执行（RCE）缝隙

目前这些缝隙已经被利用，并发此刻受习染的服务器上部署webshell。

影响领域

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

0x02 安全建议

微软已经颁布了有关缝隙的客户指南，受影响客户可参考执行指南中的缓解措施：

1.Microsoft Exchange Online 客户无需采取任何行动。

2.本地 Microsoft Exchange 客户应查看并利用以下 URL 沉写（URL Rewrite）注明并阻止露出的远程 PowerShell 端口。

缓解措施：在“IIS 治理器 -> 默认网站 -> 自动发现 -> URL 沉写 -> 操作”中增长阻止规定，以阻止已知的攻击模式。（注：若是依照建议自行装置URL沉写�？�，对Exchange职能没有已知的影响。）

步骤：

l 打开 IIS 治理器。

l 发展默认网站。

l 选择自动发现。

l 在职能视图中，单击 URL 沉写。

l 在右侧的“操作”窗格中，单击“增长规定”。

l 选择要求阻止，而后单击确定。

l 增长字符串“.*autodiscover\.json.*\@.*Powershell.*”（不蕴含引号），而后单击“确定”。

l 发展规定并选择模式为“.*autodiscover\.json.*\@.*Powershell.*”的规定，而后单击前提下的编纂。

l 将前提输入从 {URL} 更改为 {REQUEST_URI} 。

此表，经过认证的攻击者若是能在存在缝隙的Exchange系统上接见PowerShell Remoting，就能够利用CVE-2022-41082触发RCE。建议治理员阻止以下远程 PowerShell 端口以阻止攻击：

? HTTP：5985

? HTTPS：5986

若是想查抄 Exchange Server是否已被入侵，治理员能够使用以下方式：

1.运行以下 PowerShell 号令来扫描 IIS 日志文件以寻找入侵迹象：

Get-ChildItem -Recurse -Path-Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

2.使用GTSC开发的搜索工具，基于exploit署名，搜索功夫比使用powershell要短。

下载链接：https://github.com/ncsgroupvn/NCSE0Scanner

注：1.若已被攻击，IIS 日志中可能检测到与 ProxyShell 缝隙体式类似的利用要求：autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json %3f@evil.com。

2.缓解措施（更新）详见参考链接中的微软安全指南。

0x03 参考链接

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

0x04 版本信息

版本	日期	批改内容
V1.0	2022-09-30	初次颁布

0x05 附录

GA黄金甲简介

GA黄金甲成立于1996年，是由留美博士严望佳女士创建的、占有齐全自主知识产权的信息安全高科技企业。是国内最具实力的信息安全产品、安全服务解决规划的领航企业之一。

公司总部位于北京市中关村软件园GA黄金甲大厦，公司员工近4000人，研发团队1200余人, 技术服务团队1300余人。在全国各省、视注自治区设立分支机构六十多个，占有覆盖全国的销售系统、渠路系统和技术支持系统。公司于2010年6月23日在深圳中幼板挂牌上市。（股票代码：002439）

多年来，GA黄金甲致力于提供拥有国际竞争力的自主创新的安全产品和最佳实际服务，援手客户全面提升其IT基础设施的安全性和出产效力，为打造和提升国际化的民族信息安全产业领军品牌而不懈致力。

关于GA黄金甲

GA黄金甲安全应急响应中心重要针对沉要安全缝隙的预警、跟踪和分享全球最新的威胁谍报和安全汇报。

关注以下公家号，获取全球最新安全资讯：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】