近日，国家信息安全漏洞库（CNNVD）收到关于Microsoft Exchange Server多个安全漏洞（CNNVD-202210-001/CVE-2022-41040、CNNVD-202210-002/CVE-2022-41082）情况的报送。经身份验证的攻击者利用服务端请求伪造漏洞可远程访问PowerShell，进而导致在目标系统远程代码执行。Exchange Server多版本受漏洞影响。目前，微软官方已公告上述漏洞并提供临时修复措施，请用户及时确认是否受到漏洞影响，尽快采取修补措施。

一、漏洞介绍

Microsoft Exchange Server是美国微软（Microsoft）公司的一套电子邮件服务程序。它提供邮件存取、储存、转发，语音邮件，邮件过滤筛选等功能。

1、Microsoft Exchange Server安全漏洞（CNNVD-202210-001、CVE-2022-41040）：

经身份验证的攻击者利用该漏洞构造恶意请求，可获取内网访问权限及服务信息。

2、Microsoft Exchange Server安全漏洞（CNNVD-202210-002、CVE-2022-41082）：

联合利用上一漏洞的攻击者可远程访问PowerShell，进而在目标系统远程执行代码。

二、危害影响

经身份验证的攻击者利用服务端请求伪造漏洞可远程访问PowerShell，进而导致在目标系统被远程代码执行。Microsoft Exchange Server 2013、Exchange Server 2016和Exchange Server 2019等版本均受上述漏洞影响。

三、修复建议

目前，微软官方已公告上述漏洞并提供临时修复措施，请用户及时确认是否受到漏洞影响，尽快采取修补措施。官方链接如下：

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

本通报由CNNVD技术支撑单位——北京华顺信安信息技术有限公司、深信服科技股份有限公司、北京天融信网络安全技术有限公司、北京安天网络安全技术有限公司、北京长亭科技有限公司、北京山石网科信息技术有限公司、北京永信至诚科技股份有限公司、内蒙古信元网络安全技术股份有限公司、成都忆享科技有限公司、北京数字观星科技有限公司、上海斗象信息科技有限公司提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式：cnnvdvul@itsec.gov.cn