关于微软Exchange Server服务存在服务端请求伪造和远程命令执行漏洞的风险提示

2022-09-30746

一、背景介绍

近日,市委网信办技术支撑单位监测到 GTSC SOC 团队发布博客,披露了 Microsoft Exchange Server 中的两个0Day漏洞,包括:CVE-2022-41040 Microsoft Exchange Server 服务端请求伪造漏洞和CVE-2022-41082远程代码执行漏洞。目前,这两个漏洞已被检测到在野利用。

1.1 漏洞描述

微软Exchange Server服务存在服务端请求伪造漏洞和远程命令执行漏洞。未经身份验证的攻击者可利用Exchange Server存在的服务端请求伪造漏洞绕过相关权限验证,进而利用Exchange Server的远程代码执行漏洞,在目标系统上执行任意代码。

1.2 漏洞编号

CVE-2022-41040

CVE-2022-41082

1.3 漏洞等级

高危


二、修复建议

2.1 受影响版本 

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

2.2 修复建议

目前官方还未发布补丁,用户可通过以下措施缓解这些漏洞:

2.2.1在前端的 Autodiscover 中选择 URL 重写选项,选择请求阻止

2.2.2在 URL 路径处添加字符串“.*autodiscover\.json.*\@.*Powershell.*”