安全通告-Microsoft Exchange Server远程代码执行漏洞风险提示-信息技术中心

网络安全

安全通告-Microsoft Exchange Server远程代码执行漏洞风险提示

发布时间：2022-10-09 阅读次数：

一、漏洞公告

近日，监测到微软安全响应中心发布安全公告，公开了Microsoft Exchange Server中已被利用的2个Oday漏洞：Microsoft Exchange Server 服务器端请求伪造漏洞( CVE-2022-41040)、Microsoft Exchange Server远程代码执行漏洞( CVE- -2022-41082)。可在经过Exchange Server身份验证并且具有PowerShell 操作权限的情况下利用这些漏洞（组合利用）远程执行恶意代码。此漏洞影响范围广泛，目前官方发布临时缓解措施，建议受影响的用户尽快采取安全措施。

参考链接:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

二、影响范围

受影响版本:

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

三、漏洞描述

Microsoft Exchange Server是美国微软( Microsoft )公司的一套电子邮件服务程序，提供邮件存取、储存、转发，语音邮件，邮件过滤筛选等功能。

Microsoft Exchange远程代码执行漏洞(ProxyNotShell)：Exchange的受影响版本中存在远程代码执行漏洞，经过Exchange Server 身份验证并且具有PowerShell操作权限的攻击者可利用此漏洞远程执行恶意代码，并在受感染的服务器上部署webshell实现持久化和数据盗窃，并横向移动到受害者网络上的其他系统。

四、缓解措施

高危：目前该漏洞存在在野利用行为，建议受影响用户及时通过微软官方发布的漏洞客户指南缓解此漏洞的影响。

临时缓解措施:

1、Exchange Online客户无需执行任何操作。

2、Exchange Server客户应完成针对CVE-2022- 41040的URL重写规则缓解和针对CVE- 2022-41082的为非管理员禁用远程PowerShell缓解，如下所述。

URL重写规则：

当前的Exchange Server缓解措施是在“IIS管理器->默认网站-> URL重写->操作”中添加阻止规则，以阻止已知的攻击模式。Exchange Server客户应查看并使用这些选项之一。

选项1：对于启用了Exchange紧急缓解服务(EEMS)的客户，Microsoft发布了适用于Exchange Server 2016和Exchange Server 2019的URL重写缓解措施。缓解措施会自动启用并更新为包括URL重写规则改进。

选项2：Microsoft 为URL重写缓解步骤创建了EOMTv2脚本，并对其进行了更新以包括URL重写规则改进。EOMTv2脚本将在联网机器上自动更新，更新后的版本将显示为22.10.07.2029。该脚本应在未启用EEMS的任何Exchange Server上重新运行。https://aka.ms/EOMTv2

选项3：客户可以按照以下说明进行操作。遵循以下步骤后，可以删除先前为此缓解创建的规则。

1.打开IIS管理器。

2.选择默认网站。

3.在功能视图中，单击URL重写。