通告信息
近日,微软证实Microsoft Exchange电子邮件和日历服务器两个零日漏洞,并已对其分别编号为CVE-2022-41040和CVE-2022-41082。
CVE-2022-41040为服务器端请求伪造(SSRF)漏洞,而CVE-2022-41082为远程代码执行(RCE)漏洞,允许攻击者访问PowerShell时,直接向微软Exchange服务器远程注入操作系统命令或代码,从而操控后台系统。以下是两大新零日漏洞的最新追踪信息:
攻击者如何利用最新漏洞?
目前来看,针对ProxyShell漏洞利用(ProxyShell是 CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207,3个Exchange Server的漏洞总称)的缓解措施并未完全奏效。
与ProxyShell的漏洞利用方式极为相似,这些新漏洞需相互关联才能发挥作用。攻击者可通过GET请求实现对CVE-2022-41040的漏洞利用。
GET请求示例:
GET autodiscover/autodiscover.json?@evilinc.com/<exchange-backend-< span>endpoint>&Email=autodiscover/autodiscover.json%3f@evilinc.com左右滑动查看完整代码
两大漏洞集的主要不同之处在于,攻击者需通过 Exchange Server 身份验证才能成功入侵设备。这一入侵条件看似不易达成,但如今,攻击者可通过暗网轻易获得相对廉价的访问凭证。
Microsoft Exchange漏洞影响深远
目前,Microsoft Exchange已广泛应用于企业网络环境。任何未打补丁的漏洞都可能允许攻击者执行远程代码,从而致使企业组织面临严重安全风险。同时,据微软报道,最新发现的两大漏洞已被用于“有限及有针对性的目标”攻击。事实上,本次漏洞的发现正是源于安全人员追踪这两个漏洞的直接入侵行为过程。
关于漏洞的一个坏消息和一个好消息
关于这两个零日漏洞的一个坏消息是,截至本文发布之日,亦即10月2日,微软尚未发布相应补丁。微软称,目前正加紧开发补丁。
一个好消息是,微软已发布以下缓解措施:
“运行本地 Exchange 服务器的企业组织应立即采取缓解措施,阻止服务器接受已知攻击模式,可通过:IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions(IIS管理器 -> 默认网站 -> 自动发现 -> URL 重写 ->操作)” 实施应用拦截。
漏洞环节具体操作步骤:
-
打开IIS管理器
-
展开Default Web Site(默认网站)选项
-
选择Autodiscover(自动发现)协议
-
在 Feature View(功能视图)中,单击URL Rewrite(URL重写)
-
在Actions pane 窗口右侧,单击Add Rules(添加规则)
-
选择Request Blocking(请求拦截)并点击OK(确定)
-
添加字符串 ".*autodiscover.json.*@.*Powershell.*"(含引号),并点击OK(确定)
-
展开规则选项,选择模式为".*autodiscover.json.*@.*Powershell.*" 的规则,点击Edit under Conditions(在此条件下编辑)
-
将条件由 {URL} 更改为{REQUEST_URI}
微软还表示,拦截以下PowerShell远程端口可有效降低攻击者成功入侵的可能性。
HTTP:5985
HTTPS:5986
Fortinet解决方案有效抵御漏洞攻击
目前,Fortinet已更新现有签名集。IPS签名“MS.Exchange.Server.Autodiscover.Remote.Code.Execution”可成功拦截CVE-2022-41040和CVE-2022-41082漏洞利用攻击。同时,Fortinet 产品系列已针对此次漏洞全面更新,用户可充分利用Fortinet IPS、FortiClient、FortiGate、FortiWeb、FortiSASE、FortiNDR、FortiADC、FortiProxy服务及FortiGuard网页过滤技术,自动触发威胁响应,避免遭受此次漏洞利用攻击。
同时,FortiGuard 威胁爆发告警服务可及时为用户提供缓解措施,有效缓解当前爆发的网络攻击行为,并与Fortinet用户和合作伙伴实时共享关键信息。Fortinet威胁爆发告警服务帮助用户深入了解当前网络事件进程、攻击技术详情,以及组织如何保护自身免于当前和类似攻击威胁。
持续动态监测应对漏洞演变
尽管已有临时缓解措施以及身份验证访问策略可增强威胁防护,但仍不应低估这些新漏洞可能引发的严重后果。众所周知,攻击者可轻易获取自动扫描工具,大肆搜寻目标网络中存在漏洞的系统。这意味着受漏洞影响的设备极易沦为攻击者的“众矢之的”。Fortinet将持续动态监测事件进展,为用户提供更加深入的安全洞察以及最及时的解决方案信息,助力用户快速应对此次漏洞利用活动。
Network IOCs:网络IOC:
长按添加关注,为您保驾护航!
原文始发于微信公众号(网安百色):高危漏洞预警!微软证实Exchange两个最新零日漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论