【漏洞通报】微软Exchange服务SSRF&RCE漏洞（CVE-2022-41040&CVE-2022-41082）

漏洞描述

Exchange Server 是微软公司的一套电子邮件服务组件，是个消息与协作系统。 简单而言，Exchangeserver可以被用来构架应用于企业、学校的邮件系统。Exchange是收费邮箱，但是国内微软并不直接出售Exchange邮箱，而是将Exchange、Lync、Sharepoint三款产品包装成Office365出售。Exchange server还是一个协作平台。在此基础上可以开发工作流，知识管理系统，Web系统或者是其他消息系统。

近日，白帽汇安全研究院监测到微软修复了一个服务器端请求伪造（SSRF）漏洞（CVE-2022-41040）和一个远程代码执行（RCE）漏洞（CVE-2022-41082），CVE-2022-41040 可使经过身份验证的攻击者远程触发 CVE-2022-41082。应该注意的是，要成功利用这两个漏洞中的任何一个漏洞，都必须对易受攻击的 Exchange Server 进行经过身份验证的访问。

CVE 编号

CVE-2022-41040
CVE-2022-41082

FOFA 查询

app="Microsoft-Exchange"

影响范围

Microsoft Exchange Server 2013、2016和2019

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="Microsoft-Exchange"）共有 2,063,440 个相关服务对外开放。德国使用数量最多，共有475,079 个；美国第二，共有 372,580 个；新加坡第三，共有 97,842 个；中国第四，共有 90,008 个；中国香港特别行政区第五，共有78,382 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）：

中国大陆地区广东使用数量最多，共有 12,616 个；上海第二，共有 11,719 个；北京第三，共有 8,002 个；江苏第四，共有 5,036 个；四川第五，共有 4,861 个。

修复建议

1．缓解措施

微软Exchange联机客户不需要采取任何操作。在本地，微软 Exchange 客户应查看并应用以下 URL 重写说明，并阻止公开的远程PowerShell端口。

当前的缓解措施是在“IIS Manager -> Default WebSite -> Autodiscover -> URL Rewrite -> Actions”中添加阻止规则，以阻止已知的攻击模式。

微软已经证实，目前正在公开讨论的以下URL重写指令成功地打破了当前的攻击链。

• 打开 IIS 管理器。
• 展开“默认网站”。
• 选择“自动发现”。
• 在“功能视图”中，单击“URL 重写”。

• 在右侧的“Actions”窗格中，单击“Add Rules添加规则”。

• 选择请求阻止，然后单击确定。

• 添加字符串“.*autodiscover\.json.*\@.*Powershell.*”（不包括引号），然后单击“确定”。

• 展开规则并选择模式为“.*autodiscover\.json.*\@.*Powershell.*”的规则，然后单击“条件”下的“编辑”。

• 将条件输入从 {URL} 更改为 {REQUEST_URI}

影响：如果按照建议安装 URL 重写模块，对Exchange功能没有已知的影响。

能够访问易受攻击的 Exchange 系统上远程PowerShell的经过身份验证的攻击者将能够使用 CVE-2022-41082 触发 RCE。阻止远程PowerShell端口的使用可以限制这些攻击。

检测

1. Microsoft Defender for Endpoint 可检测到利用后活动。以下警报可能与此威胁相关：

• Possible web shell installation（可能的网页Shell安装）
• Possible IIS web shell（可能的IIS网页Shell）
• Suspicious Exchange Process Execution（可疑的交换进程执行）
• Possible exploitation of Exchange Server vulnerabilities（可能利用Exchange服务漏洞）
• Possible IIS compromise（指示 WebShell的可疑进程）
• Possible IIS compromise（可能的 IIS 危害）

2. 启用了MicrosoftDefender Antivirus防御者防病毒软件的用户还可以检测到用于野外利用此漏洞的WebShell恶意软件，并发出以下警报：

• 在 IIS Web 服务器上检测到“Chopper”恶意软件
• 检测到“Chopper”高严重性恶意软件

参考

[1] https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。