Exchange Server OWASSRF漏洞（CVE-2022-41080/CVE ...

哈呵哈

一. 漏洞概述
近日，绿盟科技CERT监测发现国外安全团队公开披露了对Exchange Server漏洞的利用链的技术细节。经过身份认证的远程攻击者利用Exchange Server权限提升漏洞(CVE-2022-41080)，在端点Outlook Web Application (OWA)获得在系统上下文中执行PowerShell的权限。之后具有执行PowerShell权限的攻击者通过Exchange Server远程代码执行漏洞(CVE-2022-41082)在目标系统上执行任意代码。以上利用链可绕过微软官方为"ProxyNotShell"所提供的缓解措施。请受影响的用户尽快采取措施进行防护。
参考链接：
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41080
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41082
二. 影响范围
受影响版本
l Microsoft Exchange Server 2013 Cumulative Update 23
l Microsoft Exchange Server 2016 Cumulative Update 22
l Microsoft Exchange Server 2016 Cumulative Update 23
l Microsoft Exchange Server 2019 Cumulative Update 11
l Microsoft Exchange Server 2019 Cumulative Update 12
三. 漏洞防护
3.1  官方升级
目前微软官方已针对受支持的产品版本发布了修复该漏洞的安全补丁，建议受影响用户开启系统自动更新安装补丁进行防护。
注：由于网络问题、计算机环境问题等原因，Windows Update的补丁更新可能出现失败。用户在安装补丁后，应及时检查补丁是否成功更新。右键点击Windows徽标，选择“设置(N)”，选择“更新和安全”-“Windows更新”，查看该页面上的提示信息，也可点击“查看更新历史记录”查看历史更新情况。
针对未成功安装更新补丁的情况，可直接下载离线安装包进行更新，下载链接如下：

产品更新	补丁编号	补丁下载链接
Microsoft Exchange Server 2013 Cumulative Update 23	KB5019758	https://www.microsoft.com/en-us/download/details.aspx?id=104729
Microsoft Exchange Server 2016 Cumulative Update 22	KB5019758	https://www.microsoft.com/en-us/download/details.aspx?id=104728
Microsoft Exchange Server 2016 Cumulative Update 23	KB5019758	https://www.microsoft.com/en-us/download/details.aspx?id=104727
Microsoft Exchange Server 2019 Cumulative Update 11	KB5019758	https://www.microsoft.com/en-us/download/details.aspx?id=104726
Microsoft Exchange Server 2019 Cumulative Update 12	KB5019758	https://www.microsoft.com/en-us/download/details.aspx?id=104725

【注】：建议您在安装补丁前做好数据备份工作，避免出现意外。
3.2  临时防护措施
1.若暂时无法应用补丁，建议禁用OWA来缓解此漏洞
2.禁止非管理员用户使用远程PowerShell访问
微软官方强烈建议Exchange Server用户禁用组织中的非管理员用户进行远程 PowerShell访问：
使用Exchange命令行管理程序为单个用户禁用远程PowerShell访问

Set-User "<username>" -RemotePowerShellEnabled $false

例：禁用用户名为“Therese Lindqvist”的远程PowerShell访问：

Set-User "Therese Lindqvist" -RemotePowerShellEnabled $false

使用Exchange命令行管理程序为多个用户禁用远程PowerShell访问
(1) 根据现有属性对多个用户禁用：
步骤一：

$<VariableName> = <Get-Mailbox | Get-User> -ResultSize unlimited -Filter <Filter>

步骤二：

$<VariableName> | foreach {Set-User -RemotePowerShellEnabled $false}

例：删除 Title 属性包含值“Sales Associate”的所有用户对远程 PowerShell 的访问：
步骤一：

$DSA = Get-User -ResultSize unlimited -Filter "(RecipientType -eq 'UserMailbox') -and (Title -like '*Sales Associate*')"

步骤二：

$DSA | foreach {Set-User -RemotePowerShellEnabled $false}

(2) 根据对特定的用户列表来禁用：
步骤一：

$<VariableName> = Get-Content <text file>

步骤二：

$<VariableName> | foreach {Set-User -RemotePowerShellEnabled $false

例：删除位于C:\My Documents\NoPowerShell.txt中的所有用户对远程 PowerShell 的访问：
步骤一：

$NPS = Get-Content "C:\My Documents\NoPowerShell.txt"

步骤二：

$NPS | foreach {Set-User -RemotePowerShellEnabled $false}

对于以上禁用用户远程PowerShell访问操作，详情可参考如下链接：https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers?view=exchange-ps&viewFallbackFrom=exchange-ps%22%20%5Cl%20%22use-the-exchange-management-shell-to-enable-or-disable-remote-powershell-access-for-a-user
3.确保X-Forwarded-For HTTP请求头记录真实的外部IP地址
4.除此之外CrowdStrike已开发脚本用于监视IIS及Powershell日志：https://github.com/CrowdStrike/OWASSRF
声明
本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

钱叔叔

1v1飘过

想飞的螃蟹

好帖必须得顶起