一、漏洞詳情

Microsoft Exchange Server是個(gè)消息與協(xié)作系統(tǒng)。Exchange server應(yīng)用于企業(yè)、學(xué)校的郵件系統(tǒng)或免費(fèi)郵件系統(tǒng)。

微軟安全響應(yīng)中心發(fā)布安全公告，公開(kāi)了Microsoft Exchange Server中已被利用的2個(gè)0 day漏洞（ProxyNotShell），可在經(jīng)過(guò)Exchange Server身份驗(yàn)證并且具有 PowerShell 操作權(quán)限的情況下利用這些漏洞（組合利用）遠(yuǎn)程執(zhí)行惡意代碼：

CVE-2022-41040：Microsoft Exchange Server服務(wù)器端請(qǐng)求偽造 (SSRF) 漏洞

CVE-2022-41082：Microsoft Exchange Server遠(yuǎn)程代碼執(zhí)行（RCE）漏洞

目前這些漏洞已經(jīng)被利用，并發(fā)現(xiàn)在受感染的服務(wù)器上部署webshell。

建議受影響用戶(hù)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

二、影響范圍

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

三、修復(fù)建議

微軟已經(jīng)發(fā)布了相關(guān)漏洞的客戶(hù)指南，受影響客戶(hù)可參考實(shí)施指南中的緩解措施：

1.Microsoft Exchange Online客戶(hù)無(wú)需采取任何行動(dòng)。

2.本地 Microsoft Exchange 客戶(hù)應(yīng)查看并應(yīng)用以下 URL 重寫(xiě)（URL Rewrite）說(shuō)明并阻止暴露的遠(yuǎn)程PowerShell端口。

緩解措施：在“IIS 管理器 -> 默認(rèn)網(wǎng)站 -> 自動(dòng)發(fā)現(xiàn) -> URL 重寫(xiě) -> 操作”中添加阻止規(guī)則，以阻止已知的攻擊模式。（注：如果按照建議自行安裝URL重寫(xiě)模塊，對(duì)Exchange功能沒(méi)有已知的影響。）