微软调查Exchange服务器新零日漏洞

关键要点

• 微软正在调查影响本地版本Microsoft Exchange的两个零日漏洞。
• 受影响的版本包括Exchange Server 2013、2016和2019。
• 漏洞可能导致远程代码执行，微软已启动加速修复计划。
• 紧急建议客户查看微软发布的指导，并封锁暴露的远程PowerShell端口。

微软在上周四晚间宣布，正在调查两个影响本地版本MicrosoftExchange的零日漏洞。这些漏洞的存在让系统遭遇攻击的风险加大，因此微软正在进行紧急修复。

在其中，微软表示将尽快发布修复补丁。这两个零日漏洞分别影响Microsoft Exchange Server 2013、2016和2019版本。

根据越南安全公司GTSC的，这两个漏洞可能导致远程代码执行（RCE），并且GTSC还警告了相关的攻击活动。

漏洞详情

• CVE-2022-41040 ：一种服务器端请求伪造（SSRF）漏洞。
• CVE-2022-41082 ：此漏洞允许在攻击者可以访问PowerShell的情况下，进行远程代码执行。

当前，微软表示已知有少量针对这两个漏洞的定向攻击。这些攻击中，CVE-2022-41040可以允许经过身份验证的攻击者远程触发CVE-2022-41082。微软的指导提到，要成功利用这两个漏洞，需要对脆弱的ExchangeServer进行身份验证访问。为降低潜在攻击的风险，微软建议客户查看并应用相关的URL重写说明，并封锁暴露的Remote PowerShell端口。

安全专家意见

多年来，微软在回应严重漏洞方面迅速提升了能力，在面临重大问题时，通常会在常规补丁周期外发布更新。Vulcan Cyber的高级技术工程师MikeParkin表示：“希望我们会看到对这两个新披露漏洞的快速响应。”

Parkin补充道：“这些漏洞并没有广泛传播，但有很多Exchange服务器可能会受到攻击。”他强调，幸好现在有应对措施，可以在补丁发布之前缓解利用风险。此外，这两个漏洞仅影响本地版本的Exchange，不会影响ExchangeOnline。

Qualys的恶意软件威胁研究副总裁TravisSmith指出，微软的反应通常很迅速，这次也表示他们正在积极修复。他提到，需要访问Exchange服务器才能利用该漏洞，这在一定程度上降低了风险，但并未消除。

Smith还表示：“仔细查看原始IP的信息，发现大多数来自VPN系统。只有一个IP与TOR有关，并在VirusTotal中有恶意软件相关性。”他进一步说明，组织应首先查看恶意的TORIP，并在搜索IIS日志后进行分析，以评估是否受到影响。

有关原始IP的更多详细信息，可以查看GrayNoise发布的。