微軟警告 Exchange Server 出現(xiàn)兩個(gè)零日（0-day）漏洞：尚未修復(fù)

IT之家 10 月 2 日消息，去年，微軟公司警告說，企業(yè)內(nèi)部的服務(wù)器受到廣泛的攻擊，并急于在幾周內(nèi)詳細(xì)說明緩解措施和發(fā)布安全更新。現(xiàn)在，Exchange Server 軟件似乎再次受到兩個(gè)零日（0-day）漏洞的攻擊。

IT之家獲悉，與通常情況一樣，Exchange Online 客戶不受影響，不需要做任何事情。這些漏洞適用于 Exchange Server 2013、2016 和 2019 的內(nèi)部安裝。

這兩個(gè)漏洞分別被標(biāo)記為 CVE-2022-41040 和 CVE-2022-41082。前者是服務(wù)器端請求偽造（SSRF）漏洞，而后者使惡意行為者能夠通過 PowerShell 進(jìn)行遠(yuǎn)程代碼執(zhí)行（RCE）攻擊。也就是說，攻擊者需要對 Exchange 服務(wù)器進(jìn)行認(rèn)證訪問才能利用這兩個(gè)漏洞中的任何一個(gè)。

由于目前還沒有補(bǔ)丁，微軟沒有深入研究攻擊鏈的細(xì)節(jié)。微軟已經(jīng)提供一些緩解措施，包括在 URL 重寫指令中添加阻斷規(guī)則，以及阻斷遠(yuǎn)程 PowerShell 使用的 5985（HTTP）和 5986（HTTPS）端口。

遺憾的是，微軟 Sentinel 沒有具體的獵殺查詢，微軟 Defender for Endpoint 系統(tǒng)只能檢測到開發(fā)后的活動，這也支持檢測“Chopper”web shell 惡意軟件。微軟已經(jīng)向客戶保證，正在為修復(fù)程序制定“加速的時(shí)間表”，但到目前為止還沒有披露暫定的補(bǔ)丁發(fā)布日期。用戶可以在這里找到更多關(guān)于零日漏洞的緩解措施和檢測的細(xì)節(jié)。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。