尊龙凯时

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Microsoft Exchange Server远程代码执行误差（CVE-2022-41082）

宣布时间 2022-10-01

0x00 误差概述

CVE ID	CVE-2022-41082	发明时间	2022-09-30
类型	RCE	等级	高危
远程使用		影响规模
攻击重漂后		用户交互
PoC/EXP		在野使用	是

0x01 误差详情

9月29日，微软清静响应中心宣布清静通告，果真了Microsoft Exchange Server中已被使用的2个0 day误差（ProxyNotShell），可在经由Exchange Server身份验证并且具有 PowerShell 操作权限的情形下使用这些误差（组合使用）远程执行恶意代码：

CVE-2022-41040：Microsoft Exchange Server服务器端请求伪造 (SSRF) 误差

CVE-2022-41082：Microsoft Exchange Server远程代码执行（RCE）误差

现在这些误差已经被使用，并发明在受熏染的服务器上安排webshell。

影响规模

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

0x02 清静建议

微软已经宣布了相关误差的客户指南，受影响客户可参考实验指南中的缓解步伐：

1.Microsoft Exchange Online 客户无需接纳任何行动。

2.外地 Microsoft Exchange 客户应审查并应用以下 URL 重写（URL Rewrite）说明并阻止袒露的远程 PowerShell 端口。

缓解步伐：在“IIS 治理器 -> 默认网站 -> 自动发明 -> URL 重写 -> 操作”中添加阻止规则，以阻止已知的攻击模式。（注：若是凭证建议自行装置URL重写�？�，对Exchange功效没有已知的影响。）

办法：

l 翻开 IIS 治理器。

l 睁开默认网站。

l 选择自动发明。

l 在功效视图中，单击 URL 重写。

l 在右侧的“操作”窗格中，单击“添加规则”。

l 选择请求阻止，然后单击确定。

l 添加字符串“.*autodiscover\.json.*\@.*Powershell.*”（不包括引号），然后单击“确定”。

l 睁开规则并选择模式为“.*autodiscover\.json.*\@.*Powershell.*”的规则，然后单击条件下的编辑。

l 将条件输入从 {URL} 更改为 {REQUEST_URI} 。

别的，经由认证的攻击者若是能在保存误差的Exchange系统上会见PowerShell Remoting，就可以使用CVE-2022-41082触发RCE。建议治理员阻止以下远程 PowerShell 端口以阻止攻击：

? HTTP：5985

? HTTPS：5986

若是想检查 Exchange Server是否已被入侵，治理员可以使用以下方法：

1.运行以下 PowerShell 下令来扫描 IIS 日志文件以寻找入侵迹象：

Get-ChildItem -Recurse -Path-Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

2.使用GTSC开发的搜索工具，基于exploit署名，搜索时间比使用powershell要短。

下载链接：https://github.com/ncsgroupvn/NCSE0Scanner

注：1.若已被攻击，IIS 日志中可能检测到与 ProxyShell 误差名堂类似的使用请求：autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json %3f@evil.com。

2.缓解步伐（更新）详见参考链接中的微软清静指南。

0x03 参考链接

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

0x04 版本信息

版本	日期	修改内容
V1.0	2022-09-30	首次宣布

0x05 附录

尊龙凯时简介

尊龙凯时建设于1996年，是由留美博士严望佳女士建设的、拥有完全自主知识产权的信息清静高科技企业。是海内最具实力的信息清静产品、清静服务解决计划的领航企业之一。

公司总部位于北京市中关村软件园尊龙凯时大厦，公司员工近4000人，研发团队1200余人, 手艺服务团队1300余人。在天下各省、市、自治区设立分支机构六十多个，拥有笼罩天下的销售系统、渠道系统和手艺支持系统。公司于2010年6月23日在深圳中小板挂牌上市。（股票代码：002439）

多年来，尊龙凯时致力于提供具有国际竞争力的自主立异的清静产品和最佳实践服务，资助客户周全提升其IT基础设施的清静性和生产效能，为打造和提升国际化的民族信息清静工业领军品牌而不懈起劲。

关于尊龙凯时

尊龙凯时清静应急响应中心主要针对主要清静误差的预警、跟踪和分享全球最新的威胁情报和清静报告。

关注以下公众号，获取全球最新清静资讯：

上一篇下一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号