• 發布單位:TWCERT/CC
• 更新日期:2022-10-05
• 點閱次數:6747

Microsoft Exchange Server 日前被發現的 2 個 0-day 漏洞 CVE-2022-41040、CVE-2022-41082，雖然很快就由官方發布暫時解決方案，但資安專家在數日內就發現這個解決方案並不足以防止駭侵者利用該兩漏洞發動攻擊。

越南資安廠商 GTSC 旗下的資安專家，在約三星期前發現這兩個 Microsoft Exchange Server 的 0-day 漏洞 CVE-2022-41040、CVE-2022-41082，其中 CVE-2022-41040 這個漏洞可讓獲得登入權限的駭侵者遠端誘發 CVE-2022-41082 漏洞，並利用後者遠端執行任意程式碼。

這兩個 0-day 漏洞的 CVSS 危險程度評分均為 8.8 分，危險程度評級為「高」(High) 等級。據 Microsoft 日前發布的資安通報，該公司已知這兩個 0-day 漏洞已遭駭侵者發動範圍有限的駭侵攻擊行動。

在 Microsoft 公布的資安通報中，雖然也提供了暫時的漏洞解決方案，要求系統管理員在 IIS Manager 中新增規則，不讓不具有管理權限的用戶遠端存取 PowerShell，但資安專家指出這個暫時解決方案只能夠阻擋已知的攻擊 URL，對於來自未知或新來源的相關攻擊是不具備防護能力的。

資安專家也指出，這種防禦方式只適用於部署在組織內部的 Microsoft Exchange Server，但有許多單位採用的是內部伺服器加上雲端主機的混合式架構，據統計有超過 1,200 個單位將這類混合式架構曝露於於外部網路；這類單位就很容易成為駭侵者的攻擊目標。

建議系統管理員應針對內部部署與雲端的 Microsoft Exchange Server 加強管理，勿授與任何不必要的帳號過大權限，特別是如 PowerShell 這類強力系統工具的權限，也應隨時注意 Microsoft 推出的最新修補工具並立即修補漏洞。

• CVE編號：CVE-2022-41040、CVE-2022-41082

• 影響產品(版本)：Microsoft Exchange Server 各版本。