微軟警告 Exchange Server 出現(xiàn)兩個(gè)零日（0-day）漏洞：尚未修復(fù)

IT之家 10 月 2 日消息，去年，微軟公司警告說(shuō)，企業(yè)內(nèi)部的服務(wù)器受到廣泛的攻擊，并急于在幾周內(nèi)詳細(xì)說(shuō)明緩解措施和發(fā)布安全更新。現(xiàn)在，Exchange Server 軟件似乎再次受到兩個(gè)零日（0-day）漏洞的攻擊。

IT之家獲悉，與通常情況一樣，Exchange Online 客戶(hù)不受影響，不需要做任何事情。這些漏洞適用于 Exchange Server 2013、2016 和 2019 的內(nèi)部安裝。

這兩個(gè)漏洞分別被標(biāo)記為 CVE-2022-41040 和 CVE-2022-41082。前者是服務(wù)器端請(qǐng)求偽造（SSRF）漏洞，而后者使惡意行為者能夠通過(guò) PowerShell 進(jìn)行遠(yuǎn)程代碼執(zhí)行（RCE）攻擊。也就是說(shuō)，攻擊者需要對(duì) Exchange 服務(wù)器進(jìn)行認(rèn)證訪(fǎng)問(wèn)才能利用這兩個(gè)漏洞中的任何一個(gè)。

由于目前還沒(méi)有補(bǔ)丁，微軟沒(méi)有深入研究攻擊鏈的細(xì)節(jié)。微軟已經(jīng)提供一些緩解措施，包括在 URL 重寫(xiě)指令中添加阻斷規(guī)則，以及阻斷遠(yuǎn)程 PowerShell 使用的 5985（HTTP）和 5986（HTTPS）端口。

遺憾的是，微軟 Sentinel 沒(méi)有具體的獵殺查詢(xún)，微軟 Defender for Endpoint 系統(tǒng)只能檢測(cè)到開(kāi)發(fā)后的活動(dòng)，這也支持檢測(cè)“Chopper”web shell 惡意軟件。微軟已經(jīng)向客戶(hù)保證，正在為修復(fù)程序制定“加速的時(shí)間表”，但到目前為止還沒(méi)有披露暫定的補(bǔ)丁發(fā)布日期。用戶(hù)可以在這里找到更多關(guān)于零日漏洞的緩解措施和檢測(cè)的細(xì)節(jié)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。