IT Share NVP -ViettechgroupVN-Phuong Nguyen blog Viettechgroup.vn | Share make us stronger Knowledge is Sharing Viettechgroup- Sharing Make Us Stronger-Kiến thức CNTT là sự chia sẻ- NVP-Chia sẻ làm chúng ta mạnh hơn-Viettechgroup.vn Viettechgroup.com.vn| ITShareNVP Channel | Phương Nguyễn | Phuong Nguyen Blog| Lưu trữ kiến thức chia sẽ kinh nghiệm CNTT | Phương Nguyễn

[Lỗ hổng] CVE-2022-41080 | Lỗ hổng leo thang đặc quyền trên Microsoft Exchange Server

0

Thông tin

Thông tinMô Tả
Mức độCAO
Sản phẩmExchange Server
Phiên bảnMicrosoft Exchange Server 2016 Cumulative Update 22, Microsoft Exchange Server 2019
Cumulative Update 11, Microsoft Exchange Server 2013 Cumulative Update 23, Microsoft
Exchange Server 2019 Cumulative Update 12
Mã lỗiCVE-2022-41080
Bảng tóm tắt thông tin lỗ hổng Exchange CVE-2022-41080

Tổng quan

Microsoft cập nhật thông tin về CVE-2022-41080, lỗ hổng leo thang đặc quyền trên Microsoft Exchange Server. Lỗ hổng đã được cảnh báo trong Patch Tuesday tháng 11 của Microsoft. Tin tặc đã xác thực có thể khai thác lỗ hổng Server-side request forgery (SSRF) để leo thang đặc quyền trên hệ thống hoặc kết hợp với CVE-2022-41082 để thực thi mã từ xa.
Quản trị viên cần nắm bắt thông tin và kịp thời đưa ra phương án để ngăn ngừa nguy cơ.

Mô tả chi tiết

Dựa trên các tiêu chí:

  • Microsoft Exchange Server là sản phẩm được sử dụng phổ biến trong các doanh nghiệp.
  • Kết hợp với CVE-2022-41082, tin tặc có thể thực thi mã từ xa trên hệ thống mục tiêu.
  • Tin tặc cần xác thực để khai thác lỗ hổng.
  • Lỗ hổng đã có bản vá từ phía hãng.

Thông tin chi tiết:

CVE-2022-41080 đã được Microsoft cảnh báo trong Patch Tuesday tháng 11/2022. Lỗ hổng Server-side request forgery (SSRF) cho phép tin tặc đã xác thực có thể khai thác để nâng cao đặc quyền. Đặc biệt kết hợp với lỗ hổng CVE-2022-41082 , tin tặc có thể thực thi mã từ xa trên hệ thống.
Microsoft sẽ cập nhật thông tin về lỗ hổng ngay khi có thông tin mới nhất và cảnh báo cho khách hàng.
Kịch bản tấn công:

  1. Tin tặc đã xác thực khai thác CVE-2022-41080 để nâng cao đặc quyền trên hệ thống.
  2. Tin tặc tiếp tục khai thác lỗ hổng CVE-2022-41082 để thực thi mã và chiếm quyền điều khiển hệ thống mục tiêu.

Điều kiện khai thác
Hệ thống sử dụng Exchange Server các phiên bản:

  • Microsoft Exchange Server 2016 Cumulative Update 22
  • Microsoft Exchange Server 2019 Cumulative Update 11
  • Microsoft Exchange Server 2013 Cumulative Update 23
  • Microsoft Exchange Server 2019 Cumulative Update 12


Hệ thống chưa cài đặt bản vá Patch Tuesday tháng 11 hoặc bản vá trực tiếp cho lỗ hổng.
Tin tặc cần xác thực để khai thác lỗ hổng.


Dấu hiệu nhận biết/Cách khắc phục


Dấu hiệu nhận biết:

  • Gói tin tin tặc sử dụng để truy vấn lỗ hổng có các dấu hiệu sau:
  • Truy vấn HTTP phương thức GET.


Có chứa các chuỗi “X-OWA-ExplicitLogonUser” ,”owa/”, trong header.
Rule suricata:

alert http any any -> any any (msg:"Detecting CVE-2022-41082 attack"; flow:to_server,established; content:"GET";http_method; pcre:"/(X-OWA-ExplicitLogonUser:).(owa\/.)/Hi"; classtype:web-application-attack;sid:20224540;rev:1;)


Biện pháp khắc phục:

Lỗ hổng không có biện pháp khắc phục tạm thời. Microsoft khuyến nghị quản trị viên cập nhật bản vá cho lỗ hổng, chi tiết tại:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41080

Phương Nguyễn

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More