Palo Alto Networks は (Microsoft Exchange ServerSSRF脆弱性)CVE-2022 -41040 とCVE-2022-41082?

-PAN-OS
- 脆弱性保護 (IPS )
- アンチウイルス

Unit42の脅威概要:

https://unit42.paloaltonetworks.com/proxynotshell-cve-2022-41040-cve-2022-41082/#post-125265-_rx7hmjhu7g8j

2022 年 9 月 29 日、Microsoft は Exchange サーバーの新しいゼロデイ エクスプロイトを発表しました。 ProxyNotShell
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
現時点で、Microsoft は、2 つの脆弱性を利用してユーザーのシステムに侵入する限定的な標的型攻撃を認識しています。これらの攻撃では、CVE-2022 -41040 は、認証済みリモートでトリガーする攻撃者CVE-2022-41082.

注意すべきこと認証済み2 つの脆弱性のいずれかを悪用するには、脆弱な Exchange Server へのアクセスが必要です。

カバレッジ：

脆弱性シグネチャ 脅威ID91368 (Microsoft Exchange サーバーSSRF脆弱性) は、アプリケーションと脅威のバージョン 8624 で更新され、CVE-2022 -41040.

Microsoft と協力して、潜在的な対象範囲を積極的に監視しています。CVE-2022 -41082.この攻撃はチェーンであり、CVE-2022 -41040 は、チェーンの最初からの保護を提供します。

ベンダー記事:
https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

マイトレ:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022 -41040
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022 -41082


軽減策:

Microsoft Exchange Online のお客様は、何もする必要はありません。 オンプレミスの Microsoft Exchange のお客様は、以下を確認して適用する必要があります。URL指示を書き直し、公開されたリモート PowerShell ポートをブロックします。

現在の軽減策は、ブロック ルールを「IISマネージャー -> 既定の Web サイト -> 自動検出 ->URL Rewrite -> Actions」を実行して、既知の攻撃パターンをブロックします。

マイクロソフトは、次のことを確認しています。URL現在公に議論されている書き換え命令は、現在の攻撃チェーンを断ち切ることに成功しています。

を開きますIISマネジャー。
既定の Web サイトを展開します。
自動検出を選択します。
機能ビューで、URLリライト。

緩和策の詳細は次のとおりです。
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

ここでも見つかった検出:
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

これを更新しますKCS詳細が明らかになるにつれて。