内存安全周报第111期 | Exchange 0day漏洞的缓解措施被绕过！微软发布新的解决方案

新闻中心 > 新闻详情

2022 年 10 月 9 日

安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

一、Exchange 0day漏洞的缓解措施被绕过！微软发布新的解决方案（10.05）

在发现可以轻松绕过新披露并积极利用的Exchange Server 中0day漏洞后，Microsoft 已更新其缓解措施。

详细情况

这两个漏洞分别被追踪为CVE-2022-41040和CVE-2022-41082，由于与这家科技巨头去年修复的另一组名为ProxyShell的漏洞相似，这两个漏洞被命名为ProxyNotShell。

在野攻击滥用这些缺陷，组合利用这两个漏洞，以提升权限并在被入侵的服务器上远程执行代码，从而部署Web Shell。

这家Windows制造商，尚未发布修复方案，他们承认，自2022年8月以来，可能有一个国家支持的威胁行为者在有限的有针对性的攻击中将漏洞武器化。与此同时，该公司提供了临时的解决方案，通过IIS管理器中的规则去限制已知攻击模板，以降低漏洞利用风险。

然而，安全研究员Jang（@testanull）表示，URL模板可以很容易地被绕过，高级漏洞分析师Will Dormann指出，这个阻止缓解措施“过于精确，因此不足”。

考虑到这点，微软修改了URL重写规则（也可以作为独立的PowerShell脚本提供）。

打开IIS管理器

选择默认网站；

在要素视图中，单击URL重写；

在右侧的操作窗格中，单击添加规则；

选择“请求阻止”，然后单击“确定”；

添加字符串“.* 自动发现\. json. *Powershell.*”（不包括引号）；

选择“使用”下的“正则表达式”；

在“如何阻止”下选择“中止请求”，然后单击“确定“；

展开规则并选择具有以下模式的规则：.*autodiscover\. json. *Powershell.*；

然后单击“条件”下的“编辑；

将条件输入从{URL}更改为{REQUEST_URI}。

目前还不清楚微软计划何时推出这两个漏洞的补丁，但有可能在2022年10月11日下周的补丁星期二更新中发布。

参考链接

二、严重的WhatsApp漏洞可能会允许攻击者远程入侵设备（9.28）

WhatsApp发布了安全更新，以解决其Android和iOS消息应用程序中的两个漏洞，这两个漏洞可能导致在易受攻击的设备上远程执行代码。

详细情况

WhatsApp发布了安全更新，以解决其Android和iOS消息应用程序中的两个漏洞，这两个漏洞可能导致在易受攻击的设备上远程执行代码。

其中一个漏洞为CVE-2022-36934（CVSS评分：9.8）：WhatsApp中存在一个严重的整数溢出漏洞，仅通过建立视频呼叫即可导致执行任意代码。

该问题影响了版本号2.22.16.12之前的Android和iOS的WhatsApp和WhatsApp。

Meta-owned消息平台还修补了一个整数下溢错误，它是指当操作结果太小而无法在分配的内存空间中存储值时发生的相反类别的错误。

该高危漏洞CVE编号为CVE-2022-27492（CVSS评分：7.8）影响版本号2.22.16.12之前的Android版WhatsApp和版本号2.22.15.9之前的iOS版WhatsApp，并可能在收到特制视频文件时触发。

利用整数上溢和下溢进是导致恶意行为、内存损坏和代码执行的基础。

WhatsApp没有透露这些漏洞的更多细节，但网络安全公司Malwarebytes表示，这些漏洞位于两个名为“视频呼叫处理程序”和“视频文件处理程序”的组件中，这可能会让攻击者控制该应用程序。

WhatsApp的一位发言人告诉《The Hacker News》，“我们自己发现了（这些漏洞），没有任何被利用的证据。”

对于想要在受感染设备上植入恶意软件的威胁参与者来说，WhatsApp 上的漏洞可能是一个有利可图的攻击媒介。2019年，以色列间谍软件制造商NSO Group利用一个音频呼叫漏洞植入飞马间谍软件。

参考链接

试用申请