打乱更新计划，影响数万用户，惊动国家安全委员会，挑起外交纷争？微软新漏洞不简单

在安全圈，有些漏洞和攻击事件因为影响范围大、持续时间长，往往能演变成日更或者周更连续剧。前几年有 WannaCry 勒索病毒席卷全球、NSA 方程式组织工具泄露；近期有美国 SolarWinds 供应链攻击事件。这两天，微软 Exchange Server 邮件服务器多个 0day 漏洞爆发，影响范围从两万名客户到超过三万名客户再到接近六万名客户（彭博社数据）。

这次漏洞爆发也让每月第二个星期的星期二雷打不动发布补丁的微软，罕见地提前发布了紧急补丁并不断更新修复建议。美国国土安全部计算机紧急事务响应小组也接二连三发推文，提醒、督促各行各业所有企业组织参考微软发布的文档，仔细检查服务器并及时更新、修复。

Exchange是微软公司开发的一套电子邮件服务组件，不仅支持传统的电子邮件的存取、储存、转发功能，新版本产品中还支持语音邮件、邮件过滤筛选和OWA等辅助功能。Exchange 在全球多个国家广泛应用，也许各位 PWN友的公司或单位、学校就采用了 Exchange Server 服务。

3 月 2 日，微软发布的紧急安全更新实际上涵盖 7 个相关漏洞。其中 4 个为 0day 漏洞，也是出现实际利用、影响大量用户的几个主要漏洞。详情如下：

• Exchange 服务端请求伪造漏洞（CVE-2021-26855）：未经授权的攻击者利用该漏洞，可发送任意HTTP请求并通过Exchange服务身份验证；

• Exchange 反序列化漏洞（CVE-2021-26857）：具有管理员（administrator）权限的攻击者利用该漏洞通过发送恶意请求，实现在Exchange服务器上以SYSTEM身份的任意代码执行。该漏洞单独利用须具备较高的前提条件；

• Exchange任意文件写入漏洞（CVE-2021-26858 / CVE-2021-27065）：经过Exchange服务身份验证的攻击者，利用该漏洞，可实现对服务器的任意目录文件写入；

四个漏洞被合称为 ProxyLogon。总结来说，利用这些漏洞，可以直接访问邮件内容，并创建 web shell 劫持系统、远程执行命令。目前来看，这些漏洞只影响Exchange的本地版本（Exchange Server 2013；Exchange Server 2016；Exchange Server 2019；Exchange Server 2010）。暂时没有发现 Exchange online或云计算版本受到影响的案例。

安全网站 KrebsOnSecurity整理了一份时间表，清晰地展示了事件的来龙去脉。

时间表显示，今年1 月 5 日，微软就收到了四个漏洞中两个漏洞的相关报告；且在 3 月 2 日向报告提交者 —— 安全研究员 Orange Tsai 致谢。在此后的一个月中，陆续有安全公司发现利用漏洞展开的攻击事件，并向微软报告了调查结果。2 月 18 日，微软确认了漏洞并表示将在 3 月 9 日也就是微软传统的周二补丁日发布补丁。由于漏洞影响范围大，微软将发布时间提前到 3 月 2 日。然而，3 月 3 日起，大量 Exchange 服务器被入侵且受影响数量不断增加。很多媒体认为入侵者在利用补丁刚发布但大量企业来不及修复的时机疯狂入侵。MIT Technology Review 报道称，至少有 5 个黑客团体在利用这些漏洞发起攻击。

3 月 4 日起，白宫国家安全专家、美国国家安全委员会纷纷加入警告阵营，提醒企业尽快更新。截至 3 月 8 日，彭博社在报道中预估受影响用户已经接近 6 万。3 月 9 日，欧洲银行管理局也确认遭遇 Exchange 漏洞攻击。在本文撰写过程中，芬兰国家网络安全中心发布声明称，至少有十几家使用微软 Microsoft Exchange 邮箱软件的企业遭到了网络攻击，还有数百家企业、组织处于高危风险之中。一名专家表示，这可能是芬兰二十年来影响范围最大、最严重的网络安全事件。

根据国内网友的反馈，漏洞也造成了一定程度的影响。

众所周知，美国一旦发生什么网络攻击或泄露事件，第一时间总爱甩锅。上次的 SolarWinds 事件中，朝鲜黑客组织被指认为罪魁祸首，听证会上，CEO还甩锅实习生。此次微软漏洞爆发，美国则把矛头对准了中国，多家外媒报道都提到了中国黑客组织。在 3 月 3日外交部例行记者会上，外交部发言人对此进行了回应：证据最重要。

关于漏洞的实际影响范围和严重程度，微软还没有给出明确回应。但是根据短短一周内不断攀升的受影响用户数字来看，可能这次漏洞的影响比想象中严重。从 3 月 2 日至今，微软除了发布补丁，也发布了一系列检查和应对指南。

• 缓解措施（3月6日更新）：https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/ 

• 安全补丁（3月8日更新）：https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/ 

• 安全检查代码（GitHub）：https://github.com/microsoft/CSS-Exchange/tree/main/Security

• IoC：https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/#scan-log

3 月 9 日，微软还为已经停止支持的 Exchange 服务器提供了补丁：

https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020

以上链接可用于检查更新或研究学习，有需要的PWN友请自取。

*进入极棒知识星球，获取更多安全资讯与干货

点分享

点收藏

点点赞

点在看