微软发布Exchange漏洞修复方案及检测工具，建议及时排查

TAG：ExchangeServer漏洞、CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065

TLP：白（报告转发及使用不受限制）

日期：2021-03-09

1

事件背景

3 月 2 日，微软发布 Microsoft Exchange Server 多个紧急安全更新公告，涉及相关 7 个高危漏洞。根据微软官方统计，目前发现已有 4 个漏洞被用于攻击，分别为：CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065。尚未发现被利用的漏洞包含：CVE-2021-26412、CVE-2021-26854、CVE-2021-27078。在微软发布公告后已发现有黑客团伙开始利用相关漏洞进行攻击。

Exchange Server 是微软公司提供关于电子邮件服务组件，同时也是一个协作平台，提供开发工作流、知识管理系统、Web 系统或者其他消息系统。根据网络空间测绘数据显示，中国地区安装 Exchangge Server 服务套件已超 180000 台，中国大陆地区安装 Exchange Server服务套件前五地区分别为广东、上海、北京、江苏、四川等地。

此次受影响 Exchange 版本如下：

Exchange Server版本	是否受影响
Exchange Online	否
Exchange 2003、Exchange2007	否
Exchange 2010	是
Exchange 2013、Exchange 2016、Exchange  2019	是

2

漏洞概况

此次补丁主要针对已经被利用的 4 个高危漏洞：

• CVE-2021-26855，是 Exchange 中的一个服务器端请求伪造（SSRF）漏洞，它能使攻击者以 Exchange Server 身份发送任意 HTTP 请求。

• CVE-2021-26857，是存在于 Exchange 组件中的发序列化漏洞，攻击者利用该漏洞可以获得 Exchange Server 的 System 权限，该漏洞的触发需要攻击者具有管理员权限或者配合其他漏洞。

• CVE-2021-26858/CVE-2021-27065，这两个漏洞是存在于 Exchange 组件中的任意文件写入漏洞，攻击者在完成 Exchange Server 的身份认证后，能够利用这两个漏洞实现任意文件写入，这两个漏洞需要配合 CVE-2021-26855 绕过 Exchange Server 的身份验证。

在微软公布的相关黑客攻击报告中提到，攻击者利用这些漏洞获取访问权限后，在感染的服务器上部署 WebShell，通过 WebShell 攻击者可以窃密数据并执行其他恶意操作。同时还发现黑客通过受感染的系统中下载 Exchange 相关数据通讯簿，其中包含有关组织以及用户的信息。

3

修复方案

安装 Exchange Server 服务套件的用户可根据受影响版本下载最新相关版本官方补丁安装，安装前建议做好系统备份。

相关补丁下载地址如下：

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

上述链接的补丁使用于如下版本的 Exchange Server：

• Exchange Server2010(SP3/SP3RU)

• Exchange Server2013(CU23)

• Exchange Server2016(CU19/CU18)

• Exchange Server20019(CU18/CU7)

对于不在上述版本列表的老版本用户，可参考以下官方补丁修补方案。

Exchange  Server 版本	官方补丁安装方案链接
Exchange Server 2010	https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-serv er-2010-service-pack-3-march-2-2021-kb5000978-894f27 bf-281e-44f8-b9ba-dad705534459
Exchange Server 2013	https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b
Exchange Server 2016	https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-serv er-2019-2016-and-2013-march-2-2021-kb5000871-9800a6b b-0a21-4ee7-b9da-fa85b3e1d23b
Exchange Server 2019	https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-serv er-2019-2016-and-2013-march-2-2021-kb5000871-9800a6b b-0a21-4ee7-b9da-fa85b3e1d23b

4

检测工具

在对安装受影响 Exchange Server 版本的用户未能进行完全修复情况下，微软发布了一款免费工具以及指南，用于帮助检测是否被黑客利用相关漏洞入侵。

相关工具链接如下：

https://github.com/microsoft/CSS-Exchange/tree/main/Security

相关工具文件	功能
Test-ProxyLogon.ps1	该脚本检查 CVE-2021-26855、26858、26857 和 27065 中是否存在被利用的迹象
ExchangeMitigations.ps1	该脚本包含 4 个缓解措施，以帮助解决相关漏洞：CVE-2021-26855、CVE-2021-26857、CVE-2021-27065、CVE-2021-26858
CompareExchangeHashes.ps1	该脚本通过对比文件哈希，能够检测运行在 ES13/ES16/ES19 环境下的已知恶意文件
BackendCookieMitigation.ps1	该脚本包含 CVE-2021-26855 的缓解措施
http-vuln-cve2021-26855.nse	nmap 扫描脚本,检测指定的 URL 是否容易受到 Exchange Server SSRF 漏洞（CVE-2021 -26855）的攻击

5

总结

Exchange Server 服务作为最受欢迎的邮件服务之一，在全球用户高达千万以上，而此次相关漏洞也是在更新前被发现已经用于黑客组织攻击活动中，所以受影响范围广泛。在微软发布更新通报后，对于尚未安装相关补丁的受影响用户，被活跃的黑客团伙攻击概率也相对较大。所以微步在线建议广大用户及时安装软件系统补丁，预防黑客利用相关漏洞进行攻击，避免企业受到严重损失。

━ ━ ━ ━ ━

关于微步在线研究响应团队

微步情报局，即微步在线研究响应团队，负责微步在线安全分析与安全服务业务，主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成，并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统，对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来，累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动，协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。

本文始发于微信公众号（安全威胁情报）：微软发布Exchange漏洞修复方案及检测工具，建议及时排查