吳明宜微軟上周持續修補 Exchange Server 二個一度修補不全的零時差漏洞,不過只是臨時方案,因為修補程式還在趕工中。
Exchange Server 9 月底爆出暱稱為 ProxyNotShell 的漏洞,CVE-2022-41040 及 CVE-2022-41082,前者為伺服器端請求偽造 (SSRF) 漏洞,可讓擁有 Exchange Server 用戶帳號憑證的攻擊者可升高存取權限,後者則類似 2021 年的 ProxyShell 漏洞,允許攻擊者修改 Exchange Server,以遠端程式碼執行 (RCE) 。主要差別是 ProxyShell 不需要用戶驗證,ProxyNotShell 則需要。
受影響的產品包括本地部署的 Exchange Server 2013 、 2016 和 2019 。 Exchange Online 則不受影響。
最先發現漏洞的越南安全廠商 GTSC 發現網路上已經有開採漏洞的活動,但無法確知是哪個組織。
微軟於 10 月初公佈暫時性的防範指引,包括 script 防範 CVE-2022-41040 的 Mitigation Tool v2 script (EMOTv2.ps1),以及偵測 2 漏洞攻擊活動的工具 Exchange Emergency Mitigation Service (EEMS),並表示正在製作完整修補程式。但一些安全廠商研究人員很快發現,微軟第一次的防範方法可以很輕鬆被繞過。同時間研究人員也發現少部份用戶已經遭到攻擊者掃瞄。
微軟上周截至周五前多次更新防範指引,包括釋出多版 EMOTv2 Script 和漏洞攻擊偵測工具 EEMS 。
微軟和安全研究人員呼籲本地部署 Exchange Server 管理員在微軟釋出修補程式前,套用防範工具,包括使用 Exchange Server 本地部署和 Exchange Online 混合環境的企業。
來源:The Record 、微軟