2022年11月8日(美国时间)更新:微软已发布针对CVE-2022-41040和CVE-2022-41082的安全更新。微软强烈建议受影响系统立即安装更新。“缓解措施"章节中描述的方案不再推荐使用。
概要
11月8日(美国时间),微软发布了影响Microsoft Exchange Server 2013/2016/2019的两个零日漏洞安全更新。第一个漏洞CVE-2022-41040是服务器端请求伪造(SSRF)漏洞,第二个CVE-2022-41082在攻击者能访问PowerShell时可导致远程代码执行(RCE)。目前微软已观测到有攻击者组合利用这两个漏洞的针对性攻击,攻击需要已认证的Exchange Server访问权限。
缓解措施
Exchange Online用户无需采取措施。强烈建议Exchange Server用户安装安全更新,以下原缓解方案不再推荐:
URL重写规则
原方案是在IIS管理器中添加阻断规则:
- 打开IIS管理器→默认网站→URL重写→操作
- 添加请求阻断规则,模式为
(?=.*autodiscover)(?=.*powershell) - 将条件输入从{URL}改为{UrlDecode:{REQUEST_URI}}
微软提供了三种实施方式:
- Exchange紧急缓解服务(EMS)自动部署
- 使用EOMTv2脚本(版本22.10.07.2029)
- 手动配置上述规则
禁用非管理员远程PowerShell访问
建议通过Set-User -RemotePowerShellEnabled $false命令禁用非管理员的远程PowerShell访问权限。
检测与高级追踪
参考《Analyzing attacks using the Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082》获取威胁检测指南。