一、漏洞概述
近日,绿盟科技CERT监测发现国外安全团队公开披露了对Exchange Server漏洞的利用链的技术细节。经过身份认证的远程攻击者利用Exchange Server权限提升漏洞(CVE-2022-41080),在端点Outlook Web Application (OWA)获得在系统上下文中执行PowerShell的权限。之后具有执行PowerShell权限的攻击者通过Exchange Server远程代码执行漏洞(CVE-2022-41082)在目标系统上执行任意代码。以上利用链可绕过微软官方为”ProxyNotShell”所提供的缓解措施。请受影响的用户尽快采取措施进行防护。
参考链接:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41080
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41082
二、影响范围
受影响版本
- Microsoft Exchange Server 2013 Cumulative Update 23
- Microsoft Exchange Server 2016 Cumulative Update 22
- Microsoft Exchange Server 2016 Cumulative Update 23
- Microsoft Exchange Server 2019 Cumulative Update 11
- Microsoft Exchange Server 2019 Cumulative Update 12
三、攻击排查
3.1 排查方法
1、访问链接,下载脚本:https://github.com/CrowdStrike/OWASSRF/blob/main/Rps_Http-IOC.ps1
2、运行脚本(需要注意如果直接下载可能会出现&符号的问题导致无法运行,建议直接复制以下代码并写入新的ps1文件中)
powershell C:\Users\admin\Desktop\Rps_Http-IOC.ps1
日志所在路径,默认为:
C:\Program Files\Microsoft\Exchange Server\V15\Logging\CmdletInfra\Powershell-Proxy\Http
3、运行结果如下图所示:
可以清晰看出被攻击的邮箱,供给来源以及攻击过程,成功次数等。
四、漏洞检测
- 产品检测
绿盟科技远程安全评估系统(RSAS)与WEB应用漏洞扫描系统(WVSS)、网络入侵检测系统(IDS)、综合威胁探针(UTS)已具备对此次漏洞的扫描与检测能力,请有部署以上设备的用户升级至最新版本。
| 升级包版本号 | 升级包下载链接 | |
| RSAS V6系统插件包 | V6.0R02F01.2906 | http://update.nsfocus.com/update/listRsasDetail/v/vulsys |
| RSAS V6 Web插件包 | V6.0R02F00.2804 | http://update.nsfocus.com/update/listRsasDetail/v/vulweb |
| WVSS V6插件升级包 | V6.0R03F00.265 | http://update.nsfocus.com/update/listWvssDetail/v/6/t/plg |
| IDS | 5.6.11.28923 | http://update.nsfocus.com/update/downloads/id/135638 |
| 5.6.10.28923 | http://update.nsfocus.com/update/downloads/id/135637 | |
| UTS | 5.6.10.28923 | http://update.nsfocus.com/update/downloads/id/135667 |
关于RSAS的升级配置指导,请参考如下链接:
https://mp.weixin.qq.com/s/SgOaCZeKrNn-4uR8Yj_C3Q
五、漏洞防护
- 官方升级
目前微软官方已针对受支持的产品版本发布了修复该漏洞的安全补丁,建议受影响用户开启系统自动更新安装补丁进行防护。
注:由于网络问题、计算机环境问题等原因,Windows Update的补丁更新可能出现失败。用户在安装补丁后,应及时检查补丁是否成功更新。右键点击Windows徽标,选择“设置(N)”,选择“更新和安全”-“Windows更新”,查看该页面上的提示信息,也可点击“查看更新历史记录”查看历史更新情况。
针对未成功安装更新补丁的情况,可直接下载离线安装包进行更新,下载链接如下:
| 产品更新 | 补丁编号 | 补丁下载链接 |
| Microsoft Exchange Server 2013 Cumulative Update 23 | KB5019758 | https://www.microsoft.com/en-us/download/details.aspx?id=104729 |
| Microsoft Exchange Server 2016 Cumulative Update 22 | KB5019758 | https://www.microsoft.com/en-us/download/details.aspx?id=104728 |
| Microsoft Exchange Server 2016 Cumulative Update 23 | KB5019758 | https://www.microsoft.com/en-us/download/details.aspx?id=104727 |
| Microsoft Exchange Server 2019 Cumulative Update 11 | KB5019758 | https://www.microsoft.com/en-us/download/details.aspx?id=104726 |
| Microsoft Exchange Server 2019 Cumulative Update 12 | KB5019758 | https://www.microsoft.com/en-us/download/details.aspx?id=104725 |
【注】:建议您在安装补丁前做好数据备份工作,避免出现意外。
- 产品防护
针对上述漏洞,绿盟科技网络入侵防护系统(IPS)、WEB应用防护系统(WAF)与下一代防火墙 (NF)已发布规则升级包,请相关用户升级规则包至最新版,以形成安全产品防护能力。安全防护产品规则版本号如下:
| 安全防护产品 | 规则版本号 | 升级包下载链接 | 规则编号 |
| IPS | 5.6.11.28923 | http://update.nsfocus.com/update/downloads/id/135638 |
[25803] [25802]
|
| 5.6.10.28923 | http://update.nsfocus.com/update/downloads/id/135637 | ||
| WAF | 6.0.7.3.58018 | http://update.nsfocus.com/update/downloads/id/135588 | 27005147 |
| 6.0.7.0.58018 | http://update.nsfocus.com/update/downloads/id/135589 | ||
| NF | 6.0.1.890 | http://update.nsfocus.com/update/downloads/id/135633 | 25807 |
| 6.0.2.890 | http://update.nsfocus.com/update/downloads/id/135634 |
产品规则升级的操作步骤详见如下链接:
IPS:https://mp.weixin.qq.com/s/DxQ3aaap8aujqZf-3VbNJg
WAF:https://mp.weixin.qq.com/s/7F8WCzWsuJ5T2E9e01wNog
NF:https://mp.weixin.qq.com/s/R3k_KJm4O52bxy794jjo4A
- 临时防护措施
1.若暂时无法应用补丁,建议禁用OWA来缓解此漏洞
2.禁止非管理员用户使用远程PowerShell访问
微软官方强烈建议Exchange Server用户禁用组织中的非管理员用户进行远程 PowerShell访问:
(1)使用Exchange命令行管理程序为单个用户禁用远程PowerShell访问
| Set-User “<username>” -RemotePowerShellEnabled $false |
例:禁用用户名为“Therese Lindqvist”的远程PowerShell访问:
| Set-User “Therese Lindqvist” -RemotePowerShellEnabled $false |
(2)使用Exchange命令行管理程序为多个用户禁用远程PowerShell访问
a. 根据现有属性对多个用户禁用:
步骤一:
| $<VariableName> = <Get-Mailbox | Get-User> -ResultSize unlimited -Filter <Filter> |
步骤二:
| $<VariableName> | foreach {Set-User -RemotePowerShellEnabled $false} |
例:删除 Title 属性包含值“Sales Associate”的所有用户对远程 PowerShell 的访问:
步骤一:
| $DSA = Get-User -ResultSize unlimited -Filter “(RecipientType -eq ‘UserMailbox’) -and (Title -like ‘*Sales Associate*’)” |
步骤二:
| $DSA | foreach {Set-User -RemotePowerShellEnabled $false} |
b. 根据对特定的用户列表来禁用:
步骤一:
| $<VariableName> = Get-Content <text file> |
步骤二:
| $<VariableName> | foreach {Set-User -RemotePowerShellEnabled $false |
例:删除位于C:\My Documents\NoPowerShell.txt中的所有用户对远程 PowerShell 的访问:
步骤一:
| $NPS = Get-Content “C:\My Documents\NoPowerShell.txt” |
步骤二:
| $NPS | foreach {Set-User -RemotePowerShellEnabled $false} |
对于以上禁用用户远程PowerShell访问操作,详情可参考如下链接:https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers?view=exchange-ps&viewFallbackFrom=exchange-ps%22%20%5Cl%20%22use-the-exchange-management-shell-to-enable-or-disable-remote-powershell-access-for-a-user
3.确保X-Forwarded-For HTTP请求头记录真实的外部IP地址
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。