Microsoft 针对最近披露的 Exchange 零日漏洞的缓解措施可以轻松绕过

专家警告说，微软为最近披露的两个 Exchange 零日漏洞共享的缓解措施可以被绕过。

专家警告说，微软为最近披露的两个 Exchange 零日漏洞共享的缓解措施可以被绕过。

上周，微软证实，网络安全公司 GTSC 的研究人员最近披露的 Microsoft Exchange 中的两个 零日漏洞 正在被广泛利用。

第一个缺陷是 CVE-2022-41040，是服务器端请求伪造 (SSRF) 问题。第二个漏洞被跟踪为 CVE-2022-41082，当攻击者可以访问 PowerShell 时，它允许远程代码执行 (RCE)。  
成功利用 CVE-2022-41040 可以让经过身份验证的攻击者远程触发 CVE-2022-41082。

“目前，微软意识到利用这两个漏洞进入用户系统的针对性攻击有限。在这些攻击中，CVE-2022-41040 可以使经过身份验证的攻击者远程触发 CVE-2022-41082。应该注意的是，成功利用这两个漏洞中的任何一个都需要对易受攻击的 Exchange Server 进行身份验证访问。”

    微软发布的公告。
微软宣布它正在努力加快发布解决这两个问题的修复程序的时间表。同时，该公司提供了缓解和检测指导，以帮助客户保护自己免受这些攻击。
Microsoft 声明 Microsoft Exchange Online 客户不需要采取任何行动，但它为 GTSC 共享的本地 Microsoft Exchange 客户提供了缓解措施。

“我们正在加快发布修复的时间表。在那之前，我们将提供以下缓解和检测指南，以帮助客户保护自己免受这些攻击，”微软补充道。

以下是 Microsoft 为降低上述问题的利用风险而提供的分步过程：
1.打开 IIS 管理器。
2.展开默认网站。
3.选择自动发现。
4.在功能视图中，单击 URL 重写。
5.在右侧的“操作”窗格中，单击“添加规则”。
6.选择请求阻止，然后单击确定。
7.添加字符串“.*autodiscover/.json.*/@.*Powershell.*”（不包括引号），然后单击“确定”。
8.展开规则并选择模式为“.*autodiscover/.json.*/@.*Powershell.*”的规则，然后单击条件下的编辑。
9.将条件输入从 {URL} 更改为 {REQUEST_URI}

Microsoft 还建议客户阻止以下远程 PowerShell 端口：
HTTP：5985
HTTPS：5986

Microsoft 还建议 Exchange Server 客户为组织中的非管理员用户禁用远程 PowerShell 访问。

BleepingComputer报道称，研究人员 Jang 首先警告说，微软的缓解措施可以轻松绕过。
            
受欢迎的 CERT/CC 漏洞分析师 Will Dormann 也证实，缓解措施可以轻松绕过。


研究人员建议尝试“.*autodiscover/.json.*Powershell.*”，而不是 IT 巨头共享的 URL 阻止缓解措施