微软发布Exchange漏洞修复方案以及检测工具

漏洞公布 小布 404浏览 0评论

一、 事件背景

3月2日,微软发布Microsoft Exchange Server多个紧迫安全更新公告,触及相关7个高危漏洞。依据微软官方计算,目前发现已有4个漏洞被用于攻击,分别为:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065。尚未发现被使用的漏洞包括:CVE-2021-26412、CVE-2021-26854、CVE-2021-27078。在微软发布公告后已发现有黑客团伙开端使用相关漏洞进行攻击。

Exchange Server是微软公司供给关于电子邮件服务组件,同时也是一个协作渠道,供给开发工作流、知识办理体系、web体系或许其他消息体系。依据网络空间测绘数据显现,中国区域装置Exchangge Server服务套件已超180000台,中国大陆区域装置Exchange Server服务套件前五区域分别为广东、上海、北京、江苏、四川等地。

此次受影响Exchange版本如下:

Exchange Server版本 是否受影响

Exchange Online  
Exchange 2003、Exchange2007  
Exchange 2010  
Exchange 2013、Exchange 2016、Exchange 2019  

二、 漏洞概况

此次补丁主要针对已经被使用的4个高危漏洞:

CVE-2021-26855,是Exchange中的一个服务器端恳求伪造(SSRF)漏洞,它能使进犯者以Exchange Server身份发送恣意HTTP恳求。

CVE-2021-26857,是存在于Exchange组件中的发序列化漏洞,进犯者使用该漏洞能够获得Exchange Server的System权限,该漏洞的触发需求进犯者具有管理员权限或许合作其他漏洞。

CVE-2021-26858/CVE-2021-27065,这两个漏洞是存在于Exchange组件中的恣意文件写入漏洞,进犯者在完结Exchange Server的身份认证后,能够使用这两个漏洞实现恣意文件写入,这两个漏洞需求合作CVE-2021-26855绕过Exchange Server的身份验证。

在微软发布相关黑客进犯陈述中提到,进犯者使用这些漏洞获取拜访权限后,在感染的服务器上部署WebShell,经过WebShell进犯者能够窃密数据并履行其他恶意操作。一起还发现黑客经过受感染的系统中下载Exchange相关数据通讯簿,其间包含有关安排以及用户的信息。

三、 修正计划

 

装置Exchange Server服务套件的用户可根据受影响版别下载最新相关版别官方补丁装置,装置前建议做好体系备份。

相关补丁下载地址如下:

Security Update Guide – Microsoft Security Response Center

Security Update Guide – Microsoft Security Response Center

Security Update Guide – Microsoft Security Response Center

Security Update Guide – Microsoft Security Response Center

上述链接的补丁使用于如下版别的Exchange Server:

Exchange Server2010(SP3/SP3RU)

Exchange Server2013(CU23)

Exchange Server2016(CU19/CU18)

Exchange Server20019(CU18/CU7)

对于不在上述版别列表的老版别用户,可参考以下官方补丁修补计划。

Exchange Server版本 官方补丁安装方案链接

Exchange Server 2010 Description of the security update for Microsoft Exchange Server 2010 Service Pack 3: March 2, 2021 (KB5000978)  
Exchange Server 2013 Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: March 2, 2021 (KB5000871)  
Exchange Server 2016 Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: March 2, 2021 (KB5000871)  
Exchange Server 2019 Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: March 2, 2021 (KB5000871)  

四、 检测工具

在对装置受影响Exchange Server版本的用户未能进行彻底修正情况下,微软发布了一款免费东西以及指南,用于帮助检测是否被黑客利用相关漏洞入侵。

相关东西链接如下:

CSS-Exchange/Security at main · microsoft/CSS-Exchange · GitHub

相关工具文件 功能

Test-ProxyLogon.ps1 该脚本检查CVE-2021-26855、26858、26857和27065中是否存在被利用的迹象  
ExchangeMitigations.ps1 该脚本包含4个缓解措施,以帮助解决相关漏洞:cve-2021-26855、cve-2021-26857、cve-2021-27065、cve-2021-26858  
CompareExchangeHashes.ps1 该脚本通过对比文件哈希,能够检测运行在ES13/ES16/ES19环境下的已知恶意文件  
BackendCookieMitigation.ps1 该脚本包含CVE-2021-26855的缓解措施  
http-vuln-cve2021-26855.nse nmap扫描脚本,检测指定的URL是否容易受到ExchangeServer SSRF漏洞(CVE-2021-26855)的攻击  

五、 总结

Exchange Server服务作为最受欢迎的邮件服务之一,在全球用户高达千万以上,而此次相关漏洞也是在更新前被发现已经用于黑客组织进犯活动中,所以受影响范围广泛。在微软发布更新通报后,对于尚未装置相关补丁的受影响用户,被活泼的黑客团伙进犯概率也相对较大。所以微步在线主张广阔用户及时装置软件系统补丁,防备黑客利用相关漏洞进行进犯,防止企业受到严重损失。

转载请注明:布尔云安的博客 » 微软发布Exchange漏洞修复方案以及检测工具

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址