Exchange Server重大零時差漏洞 微軟的臨時修補工具持續更新中

微軟上周持續修補Exchange Server二個一度修補不全的零時差漏洞，不過只是臨時方案，因為修補程式還在趕工中。

Exchange Server 9月底爆出暱稱為ProxyNotShell的漏洞，CVE-2022-41040及CVE-2022-41082，前者為伺服器端請求偽造(SSRF)漏洞，可讓擁有Exchange Server用戶帳號憑證的攻擊者可升高存取權限，後者則類似2021年的ProxyShell漏洞，允許攻擊者修改Exchange Server，以遠端程式碼執行(RCE)。主要差別是ProxyShell不需要用戶驗證，ProxyNotShell則需要。

受影響的產品包括本地部署的Exchange Server 2013、2016和2019。Exchange Online則不受影響。

最先發現漏洞的越南安全廠商GTSC發現網路上已經有開採漏洞的活動，但無法確知是哪個組織。

微軟於10月初公佈暫時性的防範指引，包括script防範CVE-2022-41040的Mitigation Tool v2 script (EMOTv2.ps1)，以及偵測2漏洞攻擊活動的工具Exchange Emergency Mitigation Service (EEMS)，並表示正在製作完整修補程式。但一些安全廠商研究人員很快發現，微軟第一次的防範方法可以很輕鬆被繞過。同時間研究人員也發現少部份用戶已經遭到攻擊者掃瞄。

微軟上周截至周五前多次更新防範指引，包括釋出多版EMOTv2 Script和漏洞攻擊偵測工具EEMS。

微軟和安全研究人員呼籲本地部署Exchange Server管理員在微軟釋出修補程式前，套用防範工具，包括使用Exchange Server本地部署和Exchange Online混合環境的企業。

來源：The Record、微軟