一、背景介绍

近日， GTSC SOC 团队发布博客，披露了 Microsoft Exchange Server 中的两个0Day漏洞,包括：CVE-2022-41040 Microsoft Exchange Server 服务端请求伪造漏洞和CVE-2022-41082远程代码执行漏洞。目前，这两个漏洞已被检测到在野利用。

1.1 漏洞描述

微软Exchange Server服务存在服务端请求伪造漏洞和远程命令执行漏洞。未经身份验证的攻击者可利用Exchange Server存在的服务端请求伪造漏洞绕过相关权限验证，进而利用Exchange Server的远程代码执行漏洞，在目标系统上执行任意代码。

1.2 漏洞编号

CVE-2022-41040

CVE-2022-41082

1.3 漏洞等级

高危

二、修复建议

2.1 受影响版本

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

2.2 修复建议

目前官方还未发布补丁，用户可通过以下措施缓解这些漏洞:

在前端的 Autodiscover 中选择 URL 重写选项，选择请求阻止

在 URL 路径处添加字符串“.*autodiscover\.json.*\@.*Powershell.*”