情資內容

一、漏洞說明 Microsoft 公告 Exchange Server 2個高風險漏洞已遭到利用，其中 CVE-2022-41040 屬於 Elevation of Privilege 漏洞，另一個 CVE-2022-41082 為 Remote Code Execution (RCE) 漏洞。攻擊者成功利用漏洞取得權限提升後，可自遠端執行任意惡意程式碼以進行相關攻擊。 二、已揭露攻擊程式碼說明 Microsoft網站公告此漏洞已遭利用。[1][2] 三、影響平台 Microsoft Exchange Server 2013 Cumulative Update 23 Microsoft Exchange Server 2016 Cumulative Update 22 Microsoft Exchange Server 2016 Cumulative Update 23 Microsoft Exchange Server 2019 Cumulative Update 11 Microsoft Exchange Server 2019 Cumulative Update 12 四、CVSS向量[1][2]： 1. CVE-2022-41040 使用版本：CVSS 3.1 分析分數：8.8 2. CVE-2022-41082 使用版本：CVSS 3.1 分析分數：8.8 參考來源: Microsoft 建議措施： 1. 因目前尚無修補程式，官方建議系統關閉非管理者可以遠端執行 PowerShell 存取的權限。 2. 建議會員參考官方所提供之緩解措施[3]，經風險評估後執行。如下列選項 (1) 針對使用 Exchange Server 2016 及 Exchange Server 2019 系統者，官方建議啟用Exchange Emergency Mitigation Service (EEMS) 以自動緩解此次漏洞。 (2) 官方提供緩解 script ，建議經風險評估後執行以阻斷相關攻擊鏈。[4] (3) 參考官方所提供之步驟將相關攻擊特徵加入 IIS Rewrite Rule。 3. 建議會員應檢視端點防護系統各項定義檔已更新至最新版本。 4. 建議會員應檢視高權限管理者帳號是否有異常登入紀錄。 參考資料： Microsoft 1. https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41040 2. https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41082 3. https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/ 4. https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/ 影響平台： Microsoft Exchange Server