摘要

2022年11月8日，微软发布了针对Microsoft Exchange Server 2013、2016和2019中两个零日漏洞的安全更新。第一个漏洞被标识为CVE-2022-41040，是一个服务器端请求伪造（SSRF）漏洞；第二个漏洞被标识为CVE-2022-41082，当攻击者可以访问PowerShell时，允许远程代码执行（RCE）。

目前，微软了解到有限的有针对性的攻击利用了这两个漏洞。在这些攻击中，CVE-2022-41040可以使经过身份验证的攻击者远程触发CVE-2022-41082。需要注意的是，成功利用任一漏洞都需要对易受攻击的Exchange Server进行身份验证访问。

微软安全威胁情报团队在微软安全博客中提供了对观察到的活动的进一步分析，以及检测和狩猎指南。

缓解措施

Exchange Online客户无需采取任何行动。

我们强烈建议应用针对CVE-2022-41040和CVE-2022-41082的Exchange Server更新。以下缓解措施不再推荐。

之前，我们建议Exchange Server客户完成针对CVE-2022-41040的URL重写规则缓解和针对CVE-2022-41082的非管理员禁用远程PowerShell缓解，如下所述。

URL重写规则

之前的Exchange Server缓解措施是在“IIS管理器 -> 默认网站 -> URL重写 -> 操作”中添加一个阻止规则，以阻止已知的攻击模式。

• 选项1：对于启用了Exchange紧急缓解服务（EEMS）的客户，微软为Exchange Server 2016和2019发布了URL重写缓解。缓解措施会自动启用，并更新以包含URL重写规则的改进。请参阅此博客文章以获取有关此服务以及如何检查活动缓解措施的更多信息。
• 选项2：微软为URL重写缓解步骤创建了EOMTv2脚本，并更新以包含URL重写规则的改进。EOMTv2脚本会在连接到互联网的机器上自动更新，更新后的版本将显示为22.10.07.2029。对于未启用EEMS的任何Exchange Server，应重新运行该脚本。https://aka.ms/EOMTv2
• 选项3：客户可以按照以下说明操作，其中包括步骤6的字符串更新。在遵循以下步骤后，可以删除之前为此缓解创建的规则。

1. 打开IIS管理器。
2. 选择默认网站。
3. 在功能视图中，单击URL重写。
4. 在右侧的操作窗格中，单击添加规则…
5. 选择请求阻止，然后单击确定。
6. 添加字符串“(?=.*autodiscover)(?=.*powershell)”（不包括引号）。
7. 在选择下选择正则表达式。
8. 在选择如何阻止下选择中止请求，然后单击确定。
9. 展开规则并选择带有模式：(?=.*autodiscover)(?=.*powershell)的规则，然后在条件下单击编辑。
10. 将条件输入从{URL}更改为{UrlDecode:{REQUEST_URI}}，然后单击确定。

注意：如果需要更改任何规则，最好删除并重新创建它。

影响：如果按照建议安装URL重写，对Exchange功能没有已知影响。

禁用非管理员的远程PowerShell访问

之前，我们强烈建议Exchange Server客户为组织中的非管理员用户禁用远程PowerShell访问，以缓解其中一个漏洞。虽然应用发布的更新后不再需要此操作，但您可以选择这样做以禁用可能未使用的协议。有关如何为单个用户或多个用户执行此操作的指南可在此处找到。

检测和高级狩猎

对于检测和高级狩猎指南，客户应参考[分析使用Exchange漏洞CVE-2022-41040和CVE-2022-41082的攻击](Analyzing attacks using the Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082)。