近日，我司监测到Microsoft发布安全公告，确认了两个被在野利用的存在于Exchange Server中的安全漏洞，经过 Exchange Server身份验证并且具有PowerShell操作权限的攻击者可利用此漏洞远程执行恶意代码，并在受感染的服务器上部署webshell实现持久化和数据盗窃，并横向移动到受害者网络上的其他系统。

Microsoft Exchange Server是美国微软（Microsoft）公司的一套电子邮件服务程序，提供邮件存取、储存、转发，语音邮件，邮件过滤筛选等功能。

漏洞利用可分为两个阶段：

1. 利用CVE-2022-41040 SSRF漏洞，可观测到与 ProxyShell 漏洞格式类似的请求： `autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json%3f@evil.com`。

2. 利用CVE-2022-41082通过powershell实现RCE。

影响版本:

• 2013 <= Microsoft Exchange Server <= 2019

修复建议：

官方已经针对漏洞发布了缓解措施，详情如下：

• https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/