腾讯安全注意到Microsoft Exchange远程代码执行漏洞ProxyShell的exp利用脚本已公开,ProxyShell利用了 Exchange 服务器中的三个漏洞:CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207。ProxyShell允许远程控制服务器并在机器上执行代码。
与3月份微软修复的Proxylogon漏洞相比,本次exp不需要知道目标管理员邮箱即可利用,危害性更高。微软官方已于2021年7月发布补丁修复该漏洞,腾讯安全专家建议受影响的用户尽快安装补丁修复漏洞。
1
漏洞描述
国外安全研究人员8月初公开了Exchange多个高危漏洞(ProxyShell)的技术细节、PoC(概念验证代码)、EXP(漏洞利用代码)及利用视频。漏洞包括Exchange ACL绕过漏洞(CVE-2021-34473)、Exchange权限提升漏洞(CVE-2021-34523)以及 Exchange授权任意文件写入漏洞(CVE-2021-31207)。
攻击者可通过组合使用上述这些漏洞在未经身份验证的情况下远程接管目标服务器。由于Exchange服务器承载着政企机构的核心机密,包括全体员工的帐号信息、邮件数据尽在其中,Exchange服务器被黑客控制会造成极其严重的后果。
由于安全研究人员将Exchange多个漏洞(ProxyShell)细节及部分PoC、EXP公开,意味着攻击者可根据这些技术细节披露的信息,开发出漏洞实际利用代码。从而无需身份验证在目标系统远程执行代码,使漏洞风险明显上升。
腾讯安全专家建议Exchange用户尽快安装补丁,避免服务器被入侵。
2
漏洞编号与风险等级
|
漏洞编号 |
漏洞等级 |
CVSS评分 |
|
CVE-2021-34473 |
严重 |
9.1 |
|
CVE-2021-34523 |
严重 |
9.0 |
|
CVE-2021-31207 |
严重 |
6.6 |
漏洞状态:
|
细节是否公开 |
POC状态 |
EXP状态 |
在野利用 |
|
是 |
已公开 |
已公开 |
已发现 |
3
受影响的版本
Microsoft Exchange Server 2010/2013/2016/2019
4
漏洞复现验证
腾讯安全团队已对ProxyShell漏洞进行复现,可远程写入任意webshell:
5
漏洞修复建议
微软已发布上述3个高危漏洞的安全补丁,腾讯安全专家建议采用Exchange Server 的用户尽快升级修复。
6
腾讯安全解决方案
腾讯T-Sec高级威胁检测系统(NTA,御界)规则库日期2021-8-16之后的版本,已支持检测Exchange远程代码执行等高危漏洞的攻击利用;
腾讯T-Sec漏洞扫描服务漏洞特征库日期2021-8-16之后的版本,已支持检测全网资产是否存在Exchange远程代码执行等高危漏洞,并提醒用户修复;
腾讯T-Sec主机安全(云镜)漏洞库日期2021-8-16之后的版本,已支持检测Exchange远程代码执行等高危漏洞。
参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207
关于腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按二维码关注
腾讯安全威胁情报中心
本文始发于微信公众号(腾讯安全威胁情报中心):Exchange远程代码执行漏洞风险通告(POC、EXP已公开),腾讯安全支持全面检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论