發佈編號:TACERT-ANA-2022100711103131
發佈時間:2022-10-07 11:46:31
事故類型:ANA-漏洞預警
發現時間:2022-10-06 10:01:52
影響等級:低
[主旨說明:]
【漏洞預警】微軟Microsoft Exchange Server存在安全漏洞(CVE-2022-41040與CVE-2022-41082),允許攻擊者遠端執行任意程式碼,請儘速確認並評估採取緩解措施
[內容說明:]
轉發 國家資安資訊分享與分析中心 NISAC-ANA-202210-0333
研究人員發現Microsoft Exchange Server存在ProxyNotShell安全漏洞,分別為伺服器端請求偽造(SSRF)漏洞(CVE-2022-41040)與PowerShell遠端執行程式碼(RCE)漏洞(CVE-2022-41082),遠端攻擊者可串連上述漏洞繞過身分驗證機制並提升權限後,進而遠端執行任意程式碼
[影響平台:]
影響版本如下:
● Microsoft Exchange Server 2013 Cumulative Update 23
● Microsoft Exchange Server 2016 Cumulative Update 22、23
● Microsoft Exchange Server 2019 Cumulative Update 11、12
[建議措施:]
一、目前微軟官方尚未針對此漏洞釋出更新程式,建議評估是否先行採取緩解措施,執行步驟如下:
1.開啟IIS管理員。
2.選擇「Default Web Site」。
3.於右側功能列中點擊「URL Rewrite」。
4.於右側操作窗格動作中點擊「新增規則」。
5.選擇「要求封鎖」並按下「確定」。
6.於「模式(URL路徑)」欄位新增字串「.*autodiscover.json.*Powershell.*」。
7.於「使用」下拉式選單選擇「規則運算式」。
8.於「封鎖方式」下拉式選單選擇「中止要求」並按下「確定」。
9.展開並點擊規則進行編輯,在「檢查輸入字串是否為」下拉式選單選擇「符合模式」,確認「模式」欄位內容為「.*autodiscover.json.*Powershell.*」。
10.將「條件輸入」欄位內容由「{URL}」修改為「{REQUEST_URI}」並按下「確定」。 註:若需變更任何規則,建議刪除既有規則並重新建立。
二、請持續注意微軟官方資訊,並於釋出修補程式後儘速安裝
1. https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41040
2. https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41082
[參考資料:]
1. Mitigation for Exchange Zero-Days Bypassed! Microsoft Issues New Workarounds
3. 【資安日報】2022年10月4日,微軟針對Exchange零時差漏洞提出的緩解措施可被輕易繞過、美國防承包商遭勒索軟體BlackCat攻擊
4. https://nvd.nist.gov/vuln/detail/CVE-2022-41040
5. https://nvd.nist.gov/vuln/detail/CVE-2022-41082
6. https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41040
7. https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41082
8. Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server
9. Analyzing attacks using the Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw