【漏洞通报】微软Exchange服务SSRF&RCE漏洞(CVE-2022-41040&CVE-2022-41082)

xiannv  813天前

微信截图_20220930191550.png

漏洞描述

Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。 简单而言,Exchangeserver可以被用来构架应用于企业、学校的邮件系统。Exchange是收费邮箱,但是国内微软并不直接出售Exchange邮箱,而是将Exchange、Lync、Sharepoint三款产品包装成Office365出售。Exchange server还是一个协作平台。在此基础上可以开发工作流,知识管理系统,Web系统或者是其他消息系统。

近日,白帽汇安全研究院监测到微软修复了一个服务器端请求伪造(SSRF)漏洞(CVE-2022-41040)和一个远程代码执行(RCE)漏洞(CVE-2022-41082),CVE-2022-41040 可使经过身份验证的攻击者远程触发 CVE-2022-41082。应该注意的是,要成功利用这两个漏洞中的任何一个漏洞,都必须对易受攻击的 Exchange Server 进行经过身份验证的访问。

CVE 编号

CVE-2022-41040
CVE-2022-41082

FOFA 查询

app="Microsoft-Exchange"

影响范围

Microsoft Exchange Server 2013、2016和2019

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="Microsoft-Exchange")共有 2,063,440 个相关服务对外开放。德国使用数量最多,共有475,079 个;美国第二,共有 372,580 个;新加坡第三,共有 97,842 个;中国第四,共有 90,008 个;中国香港特别行政区第五,共有78,382 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况):

1.png

中国大陆地区广东使用数量最多,共有 12,616 个;上海第二,共有 11,719 个;北京第三,共有 8,002 个;江苏第四,共有 5,036 个;四川第五,共有 4,861 个。

2.png

修复建议

1.缓解措施

微软Exchange联机客户不需要采取任何操作。在本地,微软 Exchange 客户应查看并应用以下 URL 重写说明,并阻止公开的远程PowerShell端口。

当前的缓解措施是在“IIS Manager -> Default WebSite -> Autodiscover -> URL Rewrite -> Actions”中添加阻止规则,以阻止已知的攻击模式。

微软已经证实,目前正在公开讨论的以下URL重写指令成功地打破了当前的攻击链。

  • 打开 IIS 管理器。
  • 展开“默认网站”。
  • 选择“自动发现”。
  • 在“功能视图”中,单击“URL 重写”。

3.png

  • 在右侧的“Actions”窗格中,单击“Add Rules添加规则”。

4.png

  • 选择请求阻止,然后单击确定。

5.png

  • 添加字符串“.*autodiscover\.json.*\@.*Powershell.*”(不包括引号),然后单击“确定”。

6.png

  • 展开规则并选择模式为“.*autodiscover\.json.*\@.*Powershell.*的规则,然后单击“条件”下的“编辑”。

7.png

  • 将条件输入从 {URL} 更改为 {REQUEST_URI}

8.png

影响:如果按照建议安装 URL 重写模块,对Exchange功能没有已知的影响。

能够访问易受攻击的 Exchange 系统上远程PowerShell的经过身份验证的攻击者将能够使用 CVE-2022-41082 触发 RCE。阻止远程PowerShell端口的使用可以限制这些攻击。

检测

1. Microsoft Defender for Endpoint 可检测到利用后活动。以下警报可能与此威胁相关:

  • Possible web shell installation(可能的网页Shell安装)
  • Possible IIS web shell(可能的IIS网页Shell)
  • Suspicious Exchange Process Execution(可疑的交换进程执行)
  • Possible exploitation of Exchange Server vulnerabilities可能利用Exchange服务漏洞
  • Possible IIS compromise指示 WebShell的可疑进程
  • Possible IIS compromise(可能的 IIS 危害)

2. 启用了MicrosoftDefender Antivirus防御者防病毒软件的用户还可以检测到用于野外利用此漏洞的WebShell恶意软件,并发出以下警报:

  • 在 IIS Web 服务器上检测到“Chopper”恶意软件
  • 检测到“Chopper”高严重性恶意软件

参考

[1] https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。


最新评论

昵称
邮箱
提交评论