关于Microsoft Exchange Server远程代码执行0day漏洞(CVE-2022-41082)的预警提示

时间:2022-10-08 点击数:

一、漏洞详情

Microsoft Exchange Server是个消息与协作系统。Exchange server应用于企业、学校的邮件系统或免费邮件系统。

微软安全响应中心发布安全公告,公开了Microsoft Exchange Server中已被利用的20 day漏洞(ProxyNotShell),可在经过Exchange Server身份验证并且具有 PowerShell 操作权限的情况下利用这些漏洞(组合利用)远程执行恶意代码:

CVE-2022-41040Microsoft Exchange Server服务器端请求伪造 (SSRF) 漏洞

CVE-2022-41082Microsoft Exchange Server远程代码执行(RCE)漏洞

目前这些漏洞已经被利用,并发现在受感染的服务器上部署webshell

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

三、修复建议

微软已经发布了相关漏洞的客户指南,受影响客户可参考实施指南中的缓解措施:

1.Microsoft Exchange Online客户无需采取任何行动。

2.本地 Microsoft Exchange 客户应查看并应用以下 URL 重写(URL Rewrite)说明并阻止暴露的远程PowerShell端口。

缓解措施:在“IIS 管理器 -> 默认网站 -> 自动发现 -> URL 重写 -> 操作中添加阻止规则,以阻止已知的攻击模式。(注:如果按照建议自行安装URL重写模块,对Exchange功能没有已知的影响。)

Copyright © 2020-2025 center , All Rights Reserved 版权所有:信息网络中心 苏ICP备1234123号-000 技术支持:信息网络中心