微软已经分享了针对两个新的 Microsoft Exchange 零日漏洞的缓解措施,分别为 CVE-2022-41040 和 CVE-2022-41082,但研究人员警告说,对本地服务器的缓解措施还远远不够。
威胁行为者已经在主动攻击中链接这两个零日漏洞,以破坏 Microsoft Exchange 服务器并实现远程代码执行。
大约三周前,越南网络安全公司 GTSC 通过零日倡议计划私下报告了这两个安全漏洞,该公司上周公开分享了详细信息。
缓解过于具体
微软周五证实了这两个问题,并表示他们“意识到有限的针对性攻击”利用它们。
作为咨询的一部分,Microsoft 分享 了针对本地服务器的缓解措施 ,并强烈建议 Exchange Server 客户在组织中“禁用非管理员用户的远程 PowerShell 访问”。”
为了降低被利用的风险,微软建议通过 IIS 管理器中的规则来阻止已知的攻击模式:
- 打开 IIS 管理器。
- 选择 默认网站。
- 在** Feature View** 中,单击 URL Rewrite。
- 在 右侧的 “操作”窗格中,单击“添加规则…”。
- 选择** Request Blocking** 并单击 OK。
- 添加字符串“. autodiscover.json.*@.*Powershell。”(不包括引号),然后单击“ 确定” 。
- 展开规则并选择模式为“ autodiscover.json.*@.*Powershell 的规则。”,然后单击“ 条件”下的“编辑”。
- 将条件输入从 {URL}更改 为 {REQUEST_URI}
管理员可以通过运行 Microsoft 更新的 Exchange 本地缓解工具来获得相同的结果 ——该脚本需要 PowerShell 3 或更高版本,需要以管理员权限运行,并在 IIS 7.5 或更高版本上运行。
但是,Microsoft 提出的规则仅涵盖已知攻击,因此 URL 模式仅限于它们。
安全研究员 Jang 在今天的一条推文中表明,微软防止利用 CVE-2022-41040 和 CVE-2022-41082 的临时解决方案效率不高,可以轻松绕过。
CERT/CC 的漏洞分析师 Will Dormann 同意 这一发现,并表示微软 URL 块中的“@”“似乎不必要地精确,因此不够准确”。
Jang 的发现已经过 GTSC 的研究人员的测试,他们在今天的一段视频中证实,微软的缓解措施并不能提供足够的保护。
Jang 没有提供微软提出的 URL 块,而是提供了一个不太具体的替代方案,旨在涵盖更广泛的攻击:
.*autodiscover\.json.*Powershell.*补丁尚未到来
在发布时,Microsoft 尚未发布修复这两个问题的更新,但发布了安全公告,其中包含有关影响和利用必要条件的信息。
Microsoft 将CVE-2022-41040描述为一个高风险(8.8/10 严重性评分)漏洞,攻击者可以轻松利用该漏洞来增加他们在受影响计算机上的权限,而无需任何用户交互。
此安全问题没有较高严重性评分的原因是威胁参与者需要进行身份验证。
CVE-2022-41082具有相同的高严重性分数,但它可以被具有“提供基本用户功能的权限”(用户拥有的设置和文件)的攻击者用于在易受攻击的本地 Microsoft Exchange 服务器上远程执行代码.
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 可以绕过 Microsoft Exchange 服务器零日缓解
