Thông tin
| Thông tin | Mô Tả |
|---|---|
| Mức độ | CAO |
| Sản phẩm | Exchange Server |
| Phiên bản | Microsoft Exchange Server 2016 Cumulative Update 22, Microsoft Exchange Server 2019 Cumulative Update 11, Microsoft Exchange Server 2013 Cumulative Update 23, Microsoft Exchange Server 2019 Cumulative Update 12 |
| Mã lỗi | CVE-2022-41080 |
Tổng quan
Microsoft cập nhật thông tin về CVE-2022-41080, lỗ hổng leo thang đặc quyền trên Microsoft Exchange Server. Lỗ hổng đã được cảnh báo trong Patch Tuesday tháng 11 của Microsoft. Tin tặc đã xác thực có thể khai thác lỗ hổng Server-side request forgery (SSRF) để leo thang đặc quyền trên hệ thống hoặc kết hợp với CVE-2022-41082 để thực thi mã từ xa.
Quản trị viên cần nắm bắt thông tin và kịp thời đưa ra phương án để ngăn ngừa nguy cơ.
Mô tả chi tiết
Dựa trên các tiêu chí:
- Microsoft Exchange Server là sản phẩm được sử dụng phổ biến trong các doanh nghiệp.
- Kết hợp với CVE-2022-41082, tin tặc có thể thực thi mã từ xa trên hệ thống mục tiêu.
- Tin tặc cần xác thực để khai thác lỗ hổng.
- Lỗ hổng đã có bản vá từ phía hãng.
Thông tin chi tiết:
CVE-2022-41080 đã được Microsoft cảnh báo trong Patch Tuesday tháng 11/2022. Lỗ hổng Server-side request forgery (SSRF) cho phép tin tặc đã xác thực có thể khai thác để nâng cao đặc quyền. Đặc biệt kết hợp với lỗ hổng CVE-2022-41082 , tin tặc có thể thực thi mã từ xa trên hệ thống.
Microsoft sẽ cập nhật thông tin về lỗ hổng ngay khi có thông tin mới nhất và cảnh báo cho khách hàng.
Kịch bản tấn công:
- Tin tặc đã xác thực khai thác CVE-2022-41080 để nâng cao đặc quyền trên hệ thống.
- Tin tặc tiếp tục khai thác lỗ hổng CVE-2022-41082 để thực thi mã và chiếm quyền điều khiển hệ thống mục tiêu.
Điều kiện khai thác
Hệ thống sử dụng Exchange Server các phiên bản:
- Microsoft Exchange Server 2016 Cumulative Update 22
- Microsoft Exchange Server 2019 Cumulative Update 11
- Microsoft Exchange Server 2013 Cumulative Update 23
- Microsoft Exchange Server 2019 Cumulative Update 12
Hệ thống chưa cài đặt bản vá Patch Tuesday tháng 11 hoặc bản vá trực tiếp cho lỗ hổng.
Tin tặc cần xác thực để khai thác lỗ hổng.
Dấu hiệu nhận biết/Cách khắc phục
Dấu hiệu nhận biết:
- Gói tin tin tặc sử dụng để truy vấn lỗ hổng có các dấu hiệu sau:
- Truy vấn HTTP phương thức GET.
Có chứa các chuỗi “X-OWA-ExplicitLogonUser” ,”owa/”, trong header.
Rule suricata:
alert http any any -> any any (msg:"Detecting CVE-2022-41082 attack"; flow:to_server,established; content:"GET";http_method; pcre:"/(X-OWA-ExplicitLogonUser:).(owa\/.)/Hi"; classtype:web-application-attack;sid:20224540;rev:1;)
Biện pháp khắc phục:
Lỗ hổng không có biện pháp khắc phục tạm thời. Microsoft khuyến nghị quản trị viên cập nhật bản vá cho lỗ hổng, chi tiết tại:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41080
Phương Nguyễn
