帕洛阿尔托网络是否覆盖 (Microsoft Exchange ServerSSRF漏洞）CVE-2022 -41040 和CVE-2022-41082？

-PAN-OS
- 漏洞防护 (IPS )
- 反病毒

Unit42 威胁简介：

https://unit42.paloaltonetworks.com/proxynotshell-cve-2022-41040-cve-2022-41082/#post-125265-_rx7hmjhu7g8j

2022 年 9 月 29 日，Microsoft 宣布了针对 Exchange 服务器的新 0 日漏洞利用，也称为ProxyNotShell
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
目前，Microsoft 意识到利用这两个漏洞进入用户系统的有限针对性攻击。在这些攻击中，CVE-2022 -41040 可以启用一个认证攻击者远程触发CVE-2022-41082。

应当指出的是认证要成功利用这两个漏洞中的任何一个，必须访问易受攻击的 Exchange Server。

覆盖范围：

漏洞签名威胁ID91368 （微软交换服务器SSRF漏洞）已在应用程序和威胁版本 8624 中更新，涵盖了CVE-2022-41040。

我们正在与 Microsoft 合作并积极监控潜在的覆盖范围CVE-2022-41082。请记住，这次攻击是一个链条，覆盖范围为CVE-2022-41040 从链的开头提供保护。

供应商文章：
https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

米特：
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022 -41040
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022 -41082


缓解措施：

Microsoft Exchange Online 客户无需采取任何行动。 本地 Microsoft Exchange 客户应查看并应用以下内容URL重写指令并阻止暴露的远程 PowerShell 端口。

目前的缓解措施是在“IIS管理器 -> 默认网站 -> 自动发现 ->URL Rewrite -> Actions”来阻止已知的攻击模式。

Microsoft 已确认以下内容URL目前正在公开讨论的重写指令成功地打破了当前的攻击链。

打开IIS经理。
展开默认网站。
选择自动发现。
在功能视图中，单击URL改写。

此处找到缓解措施的详细信息：
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

在这里也发现了检测结果：
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

我们会更新这个KCS随着细节的出现。