(資料圖片僅供參考)

IT之家 10 月 2 日消息，去年，微軟公司警告說，企業(yè)內(nèi)部的服務(wù)器受到廣泛的攻擊，并急于在幾周內(nèi)詳細(xì)說明緩解措施和發(fā)布安全更新。現(xiàn)在，Exchange Server 軟件似乎再次受到兩個零日（0-day）漏洞的攻擊。

IT之家獲悉，與通常情況一樣，Exchange Online 客戶不受影響，不需要做任何事情。這些漏洞適用于 Exchange Server 2013、2016 和 2019 的內(nèi)部安裝。

這兩個漏洞分別被標(biāo)記為 CVE-2022-41040 和 CVE-2022-41082。前者是服務(wù)器端請求偽造（SSRF）漏洞，而后者使惡意行為者能夠通過 PowerShell 進(jìn)行遠(yuǎn)程代碼執(zhí)行（RCE）攻擊。也就是說，攻擊者需要對 Exchange 服務(wù)器進(jìn)行認(rèn)證訪問才能利用這兩個漏洞中的任何一個。

由于目前還沒有補丁，微軟沒有深入研究攻擊鏈的細(xì)節(jié)。微軟已經(jīng)提供一些緩解措施，包括在 URL 重寫指令中添加阻斷規(guī)則，以及阻斷遠(yuǎn)程 PowerShell 使用的 5985（HTTP）和 5986（HTTPS）端口。

遺憾的是，微軟 Sentinel 沒有具體的獵殺查詢，微軟 Defender for Endpoint 系統(tǒng)只能檢測到開發(fā)后的活動，這也支持檢測“Chopper”web shell 惡意軟件。微軟已經(jīng)向客戶保證，正在為修復(fù)程序制定“加速的時間表”，但到目前為止還沒有披露暫定的補丁發(fā)布日期。用戶可以在這里找到更多關(guān)于零日漏洞的緩解措施和檢測的細(xì)節(jié)。

標(biāo)簽： 發(fā)布日期 由于目前