CVE-2022-41080

Суть уязвимости

CVE-2022-41080 — это критическая уязвимость в Microsoft Exchange Server, позволяющая повысить привилегии (Privilege Escalation) через протокол Outlook Web Access (OWA). Данная брешь является частью цепочки атак, известной как OWASSRF.

Злоумышленник, имеющий доступ к стандартной учетной записи пользователя, может обойти ограничения безопасности и получить доступ к интерфейсу PowerShell. В связке с CVE-2022-41082 это позволяет удаленно выполнять произвольный код (RCE) в контексте системы (SYSTEM), минуя механизмы защиты, такие как URL-фильтрация, настроенная для противодействия ProxyNotShell.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft (Security Updates).

1. Определите текущую версию и билд вашего Exchange Server.
2. Скачайте и установите соответствующее накопительное обновление (Cumulative Update, CU) и последующее обновление безопасности (Security Update, SU).

Для Exchange Server 2013, 2016 и 2019 необходимо установить обновления от ноября 2022 года или более поздние.

.\ExchangeUpdateAssistant.ps1

После установки обновлений проверьте состояние системы с помощью скрипта HealthChecker:

.\ExchangeHealthChecker.ps1

Временные меры

Если немедленная установка патчей невозможна, необходимо ограничить доступ к PowerShell для пользователей, не являющихся администраторами. Это разорвет цепочку атаки OWASSRF.

1. Отключите удаленный доступ к PowerShell для всех пользователей, которым он не требуется для работы:

Get-User -ResultSize Unlimited | Set-CASMailbox -RemotePowerShellEnabled $false

1. Для проверки пользователей, у которых доступ остался активным, используйте команду:

Get-User -ResultSize Unlimited | Where-Object {$_.RemotePowerShellEnabled -eq $true} | Select-Object Name, WindowsEmailAddress

1. Дополнительно рекомендуется ограничить доступ к интерфейсу OWA и ECP из внешних сетей, разрешив его только через VPN или доверенные IP-адреса.