【漏洞通告】Microsoft Exchange Server远程代码执行漏洞（CVE-2022-41082）

0x00 漏洞概述

CVE   ID	CVE-2022-41082	发现时间	2022-09-30
类    型	RCE	等    级	高危
远程利用		影响范围
攻击复杂度		用户交互
PoC/EXP		在野利用	是

0x01 漏洞详情

9月29日，微软安全响应中心发布安全公告，公开了Microsoft Exchange Server中已被利用的2个0 day漏洞，可在经过Exchange Server身份验证并且具有 PowerShell 操作权限的情况下利用这些漏洞（组合利用）远程执行恶意代码：

CVE-2022-41040：Microsoft Exchange Server服务器端请求伪造 (SSRF) 漏洞

CVE-2022-41082：Microsoft Exchange Server远程代码执行（RCE）漏洞

目前这些漏洞已经被利用，并发现在受感染的服务器上部署webshell。

影响范围

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

0x02 安全建议

微软已经发布了相关漏洞的客户指南，受影响客户可参考实施指南中的缓解措施：

1.Microsoft Exchange Online 客户无需采取任何行动。

2.本地 Microsoft Exchange 客户应查看并应用以下 URL 重写（URL Rewrite）说明并阻止暴露的远程 PowerShell 端口。

缓解措施：在“IIS 管理器 -> 默认网站-> 自动发现 -> URL 重写 -> 操作”中添加阻止规则，以阻止已知的攻击模式。（注：如果按照建议自行安装URL重写模块，对Exchange功能没有已知的影响。）

步骤：

l打开 IIS 管理器。

l展开默认网站。

l选择自动发现。

l在功能视图中，单击 URL 重写。

l在右侧的“操作”窗格中，单击“添加规则”。  

l选择请求阻止，然后单击确定。 

l添加字符串“.*autodiscover.json.*@.*Powershell.*”（不包括引号），然后单击“确定”。 

l展开规则并选择模式为“.*autodiscover.json.*@.*Powershell.*”的规则，然后单击条件下的编辑。 

l将条件输入从 {URL} 更改为 {REQUEST_URI} 。

此外，经过认证的攻击者如果能在存在漏洞的Exchange系统上访问PowerShell Remoting，就可以利用CVE-2022-41082触发RCE。建议管理员阻止以下远程 PowerShell 端口以阻止攻击：

HTTP：5985

HTTPS：5986

如果想检查 Exchange Server是否已被入侵，管理员可以使用以下方式：

1.运行以下 PowerShell 命令来扫描 IIS 日志文件以寻找入侵迹象：

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover.json.*@.*200'

2.使用GTSC开发的搜索工具，基于exploit签名，搜索时间比使用powershell要短。

下载链接：https://github.com/ncsgroupvn/NCSE0Scanner

注：若已被攻击，IIS 日志中可能检测到与ProxyShell 漏洞格式类似的利用请求：autodiscover/[email protected]/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json %[email protected]。

0x03 参考链接

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

0x04 版本信息

版本	日期	修改内容
V1.0	2022-10-01	首次发布

0x05 附录

公司简介

启明星辰成立于1996年，是由留美博士严望佳女士创建的、拥有完全自主知识产权的信息安全高科技企业。是国内最具实力的信息安全产品、安全服务解决方案的领航企业之一。

公司总部位于北京市中关村软件园启明星辰大厦，公司员工近4000人，研发团队1200余人, 技术服务团队1300余人。在全国各省、市、自治区设立分支机构六十多个，拥有覆盖全国的销售体系、渠道体系和技术支持体系。公司于2010年6月23日在深圳中小板挂牌上市。（股票代码：002439）

多年来，启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务，帮助客户全面提升其IT基础设施的安全性和生产效能，为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。

关于我们

启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。

关注以下公众号，获取全球最新安全资讯：

原文始发于微信公众号（维他命安全）：【漏洞通告】Microsoft Exchange Server远程代码执行漏洞（CVE-2022-41082）