一、 事件背景

3月2日，微软发布Microsoft Exchange Server多个紧迫安全更新公告，触及相关7个高危漏洞。依据微软官方计算，目前发现已有4个漏洞被用于攻击，分别为:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065。尚未发现被使用的漏洞包括:CVE-2021-26412、CVE-2021-26854、CVE-2021-27078。在微软发布公告后已发现有黑客团伙开端使用相关漏洞进行攻击。

Exchange Server是微软公司供给关于电子邮件服务组件，同时也是一个协作渠道，供给开发工作流、知识办理体系、web体系或许其他消息体系。依据网络空间测绘数据显现，中国区域装置Exchangge Server服务套件已超180000台，中国大陆区域装置Exchange Server服务套件前五区域分别为广东、上海、北京、江苏、四川等地。

此次受影响Exchange版本如下：

Exchange Server版本 是否受影响

二、 漏洞概况

此次补丁主要针对已经被使用的4个高危漏洞：

CVE-2021-26855，是Exchange中的一个服务器端恳求伪造(SSRF)漏洞，它能使进犯者以Exchange Server身份发送恣意HTTP恳求。

CVE-2021-26857，是存在于Exchange组件中的发序列化漏洞，进犯者使用该漏洞能够获得Exchange Server的System权限，该漏洞的触发需求进犯者具有管理员权限或许合作其他漏洞。

CVE-2021-26858/CVE-2021-27065，这两个漏洞是存在于Exchange组件中的恣意文件写入漏洞，进犯者在完结Exchange Server的身份认证后，能够使用这两个漏洞实现恣意文件写入，这两个漏洞需求合作CVE-2021-26855绕过Exchange Server的身份验证。

在微软发布相关黑客进犯陈述中提到，进犯者使用这些漏洞获取拜访权限后，在感染的服务器上部署WebShell，经过WebShell进犯者能够窃密数据并履行其他恶意操作。一起还发现黑客经过受感染的系统中下载Exchange相关数据通讯簿，其间包含有关安排以及用户的信息。

三、 修正计划

装置Exchange Server服务套件的用户可根据受影响版别下载最新相关版别官方补丁装置，装置前建议做好体系备份。

相关补丁下载地址如下：

Security Update Guide – Microsoft Security Response Center

Security Update Guide – Microsoft Security Response Center

Security Update Guide – Microsoft Security Response Center

Security Update Guide – Microsoft Security Response Center

上述链接的补丁使用于如下版别的Exchange Server：

Exchange Server2010(SP3/SP3RU)

Exchange Server2013(CU23)

Exchange Server2016(CU19/CU18)

Exchange Server20019(CU18/CU7)

对于不在上述版别列表的老版别用户，可参考以下官方补丁修补计划。

Exchange Server版本 官方补丁安装方案链接

四、 检测工具

在对装置受影响Exchange Server版本的用户未能进行彻底修正情况下，微软发布了一款免费东西以及指南，用于帮助检测是否被黑客利用相关漏洞入侵。

相关东西链接如下：

CSS-Exchange/Security at main · microsoft/CSS-Exchange · GitHub

相关工具文件 功能

五、 总结

Exchange Server服务作为最受欢迎的邮件服务之一，在全球用户高达千万以上，而此次相关漏洞也是在更新前被发现已经用于黑客组织进犯活动中，所以受影响范围广泛。在微软发布更新通报后，对于尚未装置相关补丁的受影响用户，被活泼的黑客团伙进犯概率也相对较大。所以微步在线主张广阔用户及时装置软件系统补丁，防备黑客利用相关漏洞进行进犯，防止企业受到严重损失。

转载请注明：布尔云安的博客 » 微软发布Exchange漏洞修复方案以及检测工具