一、背景介绍
近日, GTSC SOC 团队发布博客,披露了 Microsoft Exchange Server 中的两个0Day漏洞,包括:CVE-2022-41040 Microsoft Exchange Server 服务端请求伪造漏洞和CVE-2022-41082远程代码执行漏洞。目前,这两个漏洞已被检测到在野利用。
1.1 漏洞描述
微软Exchange Server服务存在服务端请求伪造漏洞和远程命令执行漏洞。未经身份验证的攻击者可利用Exchange Server存在的服务端请求伪造漏洞绕过相关权限验证,进而利用Exchange Server的远程代码执行漏洞,在目标系统上执行任意代码。
1.2 漏洞编号
CVE-2022-41040
CVE-2022-41082
1.3 漏洞等级
高危
二、修复建议
2.1 受影响版本
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
2.2 修复建议
目前官方还未发布补丁,用户可通过以下措施缓解这些漏洞:
在前端的 Autodiscover 中选择 URL 重写选项,选择请求阻止
在 URL 路径处添加字符串“.*autodiscover\.json.*\@.*Powershell.*”