Microsoft确认2个新的Exchange零日漏洞正在被广泛使用

微软官方披露，它正在调查影响Exchange Server 2013、2016和2019的两个零日安全漏洞，此前有报道称，该漏洞被肆意利用。

这家科技巨头表示：“第一个漏洞被识别为CVE-22-41040，是服务器端请求伪造（SSRF）漏洞，而第二个漏洞被确定为CVE-2022-41082，当攻击者可以访问PowerShell时，允许远程代码执行（RCE）”。

该公司还确认，它知道“有限的目标攻击”将漏洞武器化，以获得对目标系统的初始访问，但强调需要对易受攻击的Exchange Server进行身份验证才能成功利用。

微软详细描述的攻击表明，这两个漏洞在一个漏洞链中串联在一起，SSRF漏洞使经过身份验证的对手能够远程触发任意代码执行。

这家总部位于雷蒙德的公司进一步强调，它正在制定“加速时间表”以推动修复，同时敦促内部部署的Microsoft Exchange客户在IIS Manager中添加阻止规则，作为缓解潜在威胁的临时解决方案。

值得注意的是，Microsoft Exchange Online客户不受影响。添加阻塞规则的步骤如下：

1. 打开IIS管理器
2. 展开默认网站
3. 选择自动发现
4. 在功能视图中，单击URL重写
5. 在右侧的“操作”窗格中，单击“添加规则”
6. 选择请求阻止并单击确定
7. 添加字符串“.*autodiscover\.json.*\@.*Powershell.*”（不包括引号），然后单击“确定”
8. 展开规则并选择模式为“.*autodiscover\.json.*\@.*Powershell.*”的规则，然后单击“条件”下的“编辑”
9. 将条件输入从｛URL｝更改为｛REQUEST_URI｝