TAG:ExchangeServer漏洞、CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065
3 月 2 日,微软发布 Microsoft Exchange Server 多个紧急安全更新公告,涉及相关 7 个高危漏洞。根据微软官方统计,目前发现已有 4 个漏洞被用于攻击,分别为:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065。尚未发现被利用的漏洞包含:CVE-2021-26412、CVE-2021-26854、CVE-2021-27078。在微软发布公告后已发现有黑客团伙开始利用相关漏洞进行攻击。
Exchange Server 是微软公司提供关于电子邮件服务组件,同时也是一个协作平台,提供开发工作流、知识管理系统、Web 系统或者其他消息系统。根据网络空间测绘数据显示,中国地区安装 Exchangge Server 服务套件已超 180000 台,中国大陆地区安装 Exchange Server服务套件前五地区分别为广东、上海、北京、江苏、四川等地。
|
Exchange Server版本 |
是否受影响 |
|
Exchange Online |
否 |
|
Exchange 2003、Exchange2007 |
否 |
|
Exchange 2010 |
是 |
|
Exchange 2013、Exchange 2016、Exchange 2019 |
是 |
此次补丁主要针对已经被利用的 4 个高危漏洞:
-
CVE-2021-26855,是 Exchange 中的一个服务器端请求伪造(SSRF)漏洞,它能使攻击者以 Exchange Server 身份发送任意 HTTP 请求。
-
CVE-2021-26857,是存在于 Exchange 组件中的发序列化漏洞,攻击者利用该漏洞可以获得 Exchange Server 的 System 权限,该漏洞的触发需要攻击者具有管理员权限或者配合其他漏洞。
-
CVE-2021-26858/CVE-2021-27065,这两个漏洞是存在于 Exchange 组件中的任意文件写入漏洞,攻击者在完成 Exchange Server 的身份认证后,能够利用这两个漏洞实现任意文件写入,这两个漏洞需要配合 CVE-2021-26855 绕过 Exchange Server 的身份验证。
在微软公布的相关黑客攻击报告中提到,攻击者利用这些漏洞获取访问权限后,在感染的服务器上部署 WebShell,通过 WebShell 攻击者可以窃密数据并执行其他恶意操作。同时还发现黑客通过受感染的系统中下载 Exchange 相关数据通讯簿,其中包含有关组织以及用户的信息。
安装 Exchange Server 服务套件的用户可根据受影响版本下载最新相关版本官方补丁安装,安装前建议做好系统备份。
相关补丁下载地址如下:
-
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855 -
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
-
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
-
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
上述链接的补丁使用于如下版本的 Exchange Server:
-
Exchange Server2010(SP3/SP3RU) -
Exchange Server2013(CU23)
-
Exchange Server2016(CU19/CU18)
-
Exchange Server20019(CU18/CU7)
|
Exchange Server 版本 |
官方补丁安装方案链接 |
|
Exchange Server 2010 |
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-serv er-2010-service-pack-3-march-2-2021-kb5000978-894f27 bf-281e-44f8-b9ba-dad705534459 |
|
Exchange Server 2013 |
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b |
|
Exchange Server 2016 |
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-serv er-2019-2016-and-2013-march-2-2021-kb5000871-9800a6b b-0a21-4ee7-b9da-fa85b3e1d23b |
|
Exchange Server 2019 |
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-serv er-2019-2016-and-2013-march-2-2021-kb5000871-9800a6b b-0a21-4ee7-b9da-fa85b3e1d23b |
在对安装受影响 Exchange Server 版本的用户未能进行完全修复情况下,微软发布了一款免费工具以及指南,用于帮助检测是否被黑客利用相关漏洞入侵。
相关工具链接如下:
|
相关工具文件 |
功能 |
|
Test-ProxyLogon.ps1 |
该脚本检查 CVE-2021-26855、26858、26857 和 27065 中是否存在被利用的迹象 |
|
ExchangeMitigations.ps1 |
该脚本包含 4 个缓解措施,以帮助解决相关漏洞:CVE-2021-26855、CVE-2021-26857、CVE-2021-27065、CVE-2021-26858 |
|
CompareExchangeHashes.ps1 |
该脚本通过对比文件哈希,能够检测运行在 ES13/ES16/ES19 环境下的已知恶意文件 |
|
BackendCookieMitigation.ps1 |
该脚本包含 CVE-2021-26855 的缓解措施 |
|
http-vuln-cve2021-26855.nse |
nmap 扫描脚本,检测指定的 URL 是否容易受到 Exchange Server SSRF 漏洞(CVE-2021 -26855)的攻击 |
Exchange Server 服务作为最受欢迎的邮件服务之一,在全球用户高达千万以上,而此次相关漏洞也是在更新前被发现已经用于黑客组织攻击活动中,所以受影响范围广泛。在微软发布更新通报后,对于尚未安装相关补丁的受影响用户,被活跃的黑客团伙攻击概率也相对较大。所以微步在线建议广大用户及时安装软件系统补丁,预防黑客利用相关漏洞进行攻击,避免企业受到严重损失。
关于微步在线研究响应团队
本文始发于微信公众号(安全威胁情报):微软发布Exchange漏洞修复方案及检测工具,建议及时排查
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论