MS-Exchange 中的又一次远程代码执行

两个严重漏洞再次袭击了微软的 Exchange Server：在通用漏洞评分系统（Common Vulnerability Score System）中，这两个漏洞的严重程度分别为 8.8 级和 6.3 级，这两个之前未修补的漏洞（CVE-2022-41040 和 CVE-2022-41082）对所有依赖微软邮件系统的服务器都构成了威胁。

由于攻击者目前也在积极利用这些漏洞，受影响的管理员应确保立即实施Microsofts Blog 提供的解决方法，直到制造商纠正问题为止。安全公司GTSC已于 9 月底发现了这些漏洞，但微软仍未提供修补程序。

受影响：Exchange 2013、2016 和 2019

所有内部安装的 Microsoft Exchange Server 2013、2016 和 2019 版本均受影响，包括已打补丁且维护良好的服务器。grommunio 的客户和产品不受此漏洞影响。

据供应商承认，该漏洞（这里是不断更新的 BSI 报告）允许 “对已验证账户执行远程代码”，即通过用户账户执行任意代码。推荐的解决方法强烈建议微软的所有内部客户禁止非特权用户远程访问 Powershell（Windows 系统的命令行）。这是目前防止攻击者滥用这些账户并对服务器或本地网络造成严重破坏的唯一方法。

微软的初步措施还不够充分

安全专家仍在继续调查这一问题，并主要在 Twitter 上分享他们的发现。相关标签为#proxynotshell，指的是 2021 年以来 Exchange 中发生的其他安全事件。在微软最初提出的缓解措施经核实未取得成功之后，BSI 和微软也通过 Twitter 提出了 “锁定 “所有 Powershell 非特权用户的建议。

Test grommunio on your own server for free.

---

更新

12.10 月：与预期相反，微软没有在最新的补丁日（10 月 11 日）提供漏洞补丁。在出现问题的变通办法和黑客已经积极利用漏洞之后，微软现在面临着 Windows、Hyper-V 和 Office 中更严重的安全漏洞。微软安全响应中心的博文由这家美国公司不断更新，最近一次更新是在10月9日。