聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
微软指出,“第一个漏洞是CVE-2022-41040,它是一个服务器端请求伪造漏洞。第二个漏洞CVE-2022-41082可导致攻击者在访问PowerShell的情况下实现远程代码执行后果。”
微软还证实称,虽然已发现这些0day遭“有限的针对性攻击”,被用于获得对目标系统初始访问权限的情况,但强调称只有拥有对易受攻击Exchange Server的认证访问权限,攻击者才能实施成功利用。
微软详述攻击指出,这两个缺陷被滥用于利用链中,该SSRF漏洞可导致认证攻击者远程触发任意代码执行。
微软还进一步强调称,目前正在“加快”推出修复方案,同时督促Exchange本地用户在IIS Manager 中增加拦截规则,作为缓解潜在威胁的临时缓解措施。
值得注意的是,Microsoft Exchange Online Customers 并不受影响。增加拦截规则的步骤如下:
-
打开IIS Manager
-
扩展 Default Web Site
-
选择Autodiscover
-
在特征视图中,点击URL Rewrite
-
在右边Actions面板上,点击Add Rules
-
选择Request Blocking,点击OK
-
增加字符串".*autodiscover.json.*@.*Powershell.*"(不含引号)并点击OK
-
扩展规则并选择Pattern为 ".*autodiscover.json.*@.*Powershell.*" 的规则,点击Conditions下面的Edit
-
将条件输入从{URL} 更改为 {REQUEST_URI}
https://thehackernews.com/2022/09/microsoft-confirms-2-new-exchange-zero.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):微软证实称两个Exchange 0day 正遭在野利用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论