99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

安全通告

Exchange Server OWASSRF命令執(zhí)行漏洞預(yù)警通告

發(fā)布日期：2022-12-27

?

漏洞描述

2022年12月27日發(fā)現(xiàn)，監(jiān)測到CrowdStrike發(fā)布針對Microsoft Exchange Server新的利用鏈的技術(shù)細(xì)節(jié)，并將其命名為”OWASSRF”，其中涉及兩個(gè)漏洞：Microsoft Exchange Server權(quán)限提升漏洞(CVE-2022-41080)：經(jīng)過身份認(rèn)證的遠(yuǎn)程攻擊者可通過Outlook Web Application (OWA)端點(diǎn)獲得在系統(tǒng)上下文中執(zhí)行PowerShell的權(quán)限。Microsoft Exchange Server遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-41082)：具有執(zhí)行PowerShell權(quán)限的遠(yuǎn)程攻擊者可利用此漏洞在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。組合這兩個(gè)漏洞，經(jīng)過身份認(rèn)證的遠(yuǎn)程攻擊者可通過Outlook Web Application (OWA)端點(diǎn)，最終執(zhí)行任意代碼。以上利用鏈可繞過微軟官方為”ProxyNotShell”所提供的緩解措施。請受影響的用戶盡快采取措施進(jìn)行防護(hù)。

漏洞編號

CVE-2022-41080/CVE-2022-41082

漏洞危害

經(jīng)過身份認(rèn)證的遠(yuǎn)程攻擊者可利用此漏洞獲得在系統(tǒng)上下文中執(zhí)行PowerShell的權(quán)限，配合CVE-2022-41082漏洞最終可在目標(biāo)服務(wù)器上執(zhí)行任意代碼。

漏洞等級

高危
受影響版本

Microsoft Exchange Server 2013 Cumulative Update 23

Microsoft Exchange Server 2016 Cumulative Update 22

Microsoft Exchange Server 2016 Cumulative Update 23

Microsoft Exchange Server 2019 Cumulative Update 11

Microsoft Exchange Server 2019 Cumulative Update 12

修復(fù)方案

目前微軟官方已針對受支持的產(chǎn)品版本發(fā)布了修復(fù)該漏洞的安全補(bǔ)丁，建議受影響用戶通過以下鏈接進(jìn)行手動更新：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41080

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082

參考鏈接

https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers