一、漏洞详情
Microsoft Exchange Server是个消息与协作系统。Exchange server应用于企业、学校的邮件系统或免费邮件系统。
微软安全响应中心发布安全公告,公开了Microsoft Exchange Server中已被利用的2个0 day漏洞(ProxyNotShell),可在经过Exchange Server身份验证并且具有 PowerShell 操作权限的情况下利用这些漏洞(组合利用)远程执行恶意代码:
CVE-2022-41040:Microsoft Exchange Server服务器端请求伪造 (SSRF) 漏洞
CVE-2022-41082:Microsoft Exchange Server远程代码执行(RCE)漏洞
目前这些漏洞已经被利用,并发现在受感染的服务器上部署webshell。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
三、修复建议
微软已经发布了相关漏洞的客户指南,受影响客户可参考实施指南中的缓解措施:
1.Microsoft Exchange Online客户无需采取任何行动。
2.本地 Microsoft Exchange 客户应查看并应用以下 URL 重写(URL Rewrite)说明并阻止暴露的远程PowerShell端口。
缓解措施:在“IIS 管理器 -> 默认网站 -> 自动发现 -> URL 重写 -> 操作”中添加阻止规则,以阻止已知的攻击模式。(注:如果按照建议自行安装URL重写模块,对Exchange功能没有已知的影响。)