微软证实称两个Exchange 0day 正遭在野利用

微软指出，“第一个漏洞是CVE-2022-41040，它是一个服务器端请求伪造漏洞。第二个漏洞CVE-2022-41082可导致攻击者在访问PowerShell的情况下实现远程代码执行后果。”

微软还证实称，虽然已发现这些0day遭“有限的针对性攻击”，被用于获得对目标系统初始访问权限的情况，但强调称只有拥有对易受攻击Exchange Server的认证访问权限，攻击者才能实施成功利用。

微软详述攻击指出，这两个缺陷被滥用于利用链中，该SSRF漏洞可导致认证攻击者远程触发任意代码执行。

微软还进一步强调称，目前正在“加快”推出修复方案，同时督促Exchange本地用户在IIS Manager 中增加拦截规则，作为缓解潜在威胁的临时缓解措施。

值得注意的是，Microsoft Exchange Online Customers 并不受影响。增加拦截规则的步骤如下：

• 打开IIS Manager

• 扩展 Default Web Site

• 选择Autodiscover

• 在特征视图中，点击URL Rewrite

• 在右边Actions面板上，点击Add Rules

• 选择Request Blocking，点击OK

• 增加字符串".*autodiscover\.json.*\@.*Powershell.*"（不含引号）并点击OK

• 扩展规则并选择Pattern为 ".*autodiscover\.json.*\@.*Powershell.*" 的规则，点击Conditions下面的Edit

• 将条件输入从{URL} 更改为 {REQUEST_URI}

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。