上週五 (9 月 30 日),有消息指出一系列高度針對性的攻擊廣泛使用了兩個最新被發現的 Microsoft Exchange Server 漏洞。第一個是 CVE-2022-41040,這是一個伺服器端請求偽造 (SSRF) 漏洞,本質上會為攻擊者「打開大門」,獲取對目標 Exchange Server 的存取權限;第二個是CVE_2022-41082,這是一個允許透過 PowerShell 遠端執行程式碼 (RCE) 的漏洞。
此攻擊鏈類似於去年的 ProxyShell 攻擊。而如同去年一樣,安全社群正在為可能會濫用漏洞的攻擊做好準備,因為這些漏洞已經眾所周知。
此外,在 Microsoft 為漏洞準備修補程式的同時,Sophos 首席研究科學家 Chester Wisniewski 如何保持系統安全提供了一些建議。
Sophos 首席研究科學家 Chester Wisniewski 表示:
「在上週五 Microsoft 確認 Microsoft Exchange 中存在兩個新的零時差漏洞後,安全專家就不斷調查可能會發生的影響和漏洞被利用後所需採取的行動。目前知道只有極少數受害者成為漏洞的目標,這為我們爭取了一點時間來採取防護措施,並為 Microsoft 提供的修正程式預做準備。對於已更新 2022 年 9 月修正程式的 Exchange 客戶來說,Microsoft 部署了一個 URL 重寫規則,用於防護已知攻擊以避免它們成功運作。不幸的是,已經被證實這種防護措施是可以輕鬆繞過的,所以我們仍需等待官方的修補程式。IT 團隊應該做好準備,待正式修補程式發布後儘快安裝上去,因為我們預期攻擊者會對上述修正程式進行逆向工程,找出如何在漏洞出現後的短時間內利用它。」
若要了解這些漏洞以及如何保護 Sophos 客戶的更多資訊,請閱讀 X-Ops 的最新部落格文章。