一、 事件背景
3月2日,微软发布Microsoft Exchange Server多个紧迫安全更新公告,触及相关7个高危漏洞。依据微软官方计算,目前发现已有4个漏洞被用于攻击,分别为:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065。尚未发现被使用的漏洞包括:CVE-2021-26412、CVE-2021-26854、CVE-2021-27078。在微软发布公告后已发现有黑客团伙开端使用相关漏洞进行攻击。
Exchange Server是微软公司供给关于电子邮件服务组件,同时也是一个协作渠道,供给开发工作流、知识办理体系、web体系或许其他消息体系。依据网络空间测绘数据显现,中国区域装置Exchangge Server服务套件已超180000台,中国大陆区域装置Exchange Server服务套件前五区域分别为广东、上海、北京、江苏、四川等地。
此次受影响Exchange版本如下:
Exchange Server版本 是否受影响
Exchange Online | 否 | |
Exchange 2003、Exchange2007 | 否 | |
Exchange 2010 | 是 | |
Exchange 2013、Exchange 2016、Exchange 2019 | 是 |
二、 漏洞概况
此次补丁主要针对已经被使用的4个高危漏洞:
CVE-2021-26855,是Exchange中的一个服务器端恳求伪造(SSRF)漏洞,它能使进犯者以Exchange Server身份发送恣意HTTP恳求。
CVE-2021-26857,是存在于Exchange组件中的发序列化漏洞,进犯者使用该漏洞能够获得Exchange Server的System权限,该漏洞的触发需求进犯者具有管理员权限或许合作其他漏洞。
CVE-2021-26858/CVE-2021-27065,这两个漏洞是存在于Exchange组件中的恣意文件写入漏洞,进犯者在完结Exchange Server的身份认证后,能够使用这两个漏洞实现恣意文件写入,这两个漏洞需求合作CVE-2021-26855绕过Exchange Server的身份验证。
在微软发布相关黑客进犯陈述中提到,进犯者使用这些漏洞获取拜访权限后,在感染的服务器上部署WebShell,经过WebShell进犯者能够窃密数据并履行其他恶意操作。一起还发现黑客经过受感染的系统中下载Exchange相关数据通讯簿,其间包含有关安排以及用户的信息。
三、 修正计划
装置Exchange Server服务套件的用户可根据受影响版别下载最新相关版别官方补丁装置,装置前建议做好体系备份。
相关补丁下载地址如下:
Security Update Guide – Microsoft Security Response Center
Security Update Guide – Microsoft Security Response Center
Security Update Guide – Microsoft Security Response Center
Security Update Guide – Microsoft Security Response Center
上述链接的补丁使用于如下版别的Exchange Server:
Exchange Server2010(SP3/SP3RU)
Exchange Server2013(CU23)
Exchange Server2016(CU19/CU18)
Exchange Server20019(CU18/CU7)
对于不在上述版别列表的老版别用户,可参考以下官方补丁修补计划。
Exchange Server版本 官方补丁安装方案链接
四、 检测工具
在对装置受影响Exchange Server版本的用户未能进行彻底修正情况下,微软发布了一款免费东西以及指南,用于帮助检测是否被黑客利用相关漏洞入侵。
相关东西链接如下:
CSS-Exchange/Security at main · microsoft/CSS-Exchange · GitHub
相关工具文件 功能
Test-ProxyLogon.ps1 | 该脚本检查CVE-2021-26855、26858、26857和27065中是否存在被利用的迹象 | |
ExchangeMitigations.ps1 | 该脚本包含4个缓解措施,以帮助解决相关漏洞:cve-2021-26855、cve-2021-26857、cve-2021-27065、cve-2021-26858 | |
CompareExchangeHashes.ps1 | 该脚本通过对比文件哈希,能够检测运行在ES13/ES16/ES19环境下的已知恶意文件 | |
BackendCookieMitigation.ps1 | 该脚本包含CVE-2021-26855的缓解措施 | |
http-vuln-cve2021-26855.nse | nmap扫描脚本,检测指定的URL是否容易受到ExchangeServer SSRF漏洞(CVE-2021-26855)的攻击 |
五、 总结
Exchange Server服务作为最受欢迎的邮件服务之一,在全球用户高达千万以上,而此次相关漏洞也是在更新前被发现已经用于黑客组织进犯活动中,所以受影响范围广泛。在微软发布更新通报后,对于尚未装置相关补丁的受影响用户,被活泼的黑客团伙进犯概率也相对较大。所以微步在线主张广阔用户及时装置软件系统补丁,防备黑客利用相关漏洞进行进犯,防止企业受到严重损失。
转载请注明:布尔云安的博客 » 微软发布Exchange漏洞修复方案以及检测工具