2021年03月3日,本站安全专题监测发现微软发布了Microsoft Exchange安全更新,披露了多个高危严重漏洞。
漏洞描述
Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。2021年03月3日,微软官方发布了Microsoft Exchange安全更新,披露了多个高危严重漏洞,其中:
1、在 CVE-2021-26855 Exchange SSRF漏洞中,攻击者可直接构造恶意请求,以Exchange server的身份发起任意HTTP请求,扫描内网,并且可获取Exchange用户信息。该漏洞利用无需身份认证。
2、在 CVE-2021-26857 Unified Messaging service 反序列化漏洞中,攻击者可构造恶意请求,触发反序列化漏洞,从而执行任意代码。成功利用该漏洞需要Exchange administrator权限,或需要配合其他漏洞。
3、在 CVE-2021-26858 / CVE-2021-27065 Exchange 任意文件写入漏洞中,攻击者可结合CVE-2021-26855 SSRF漏洞,或提供正确的administrator凭证,构造恶意请求,在系统上写入任意文件。
本站安全专题建议 Microsoft Exchange 用户修复漏洞。
漏洞评级
CVE-2021-26855 高危
CVE-2021-26857 高危
CVE-2021-26858 高危
CVE-2021-27065 高危
影响版本
Microsoft Exchange 2013
Microsoft Exchange 2016
Microsoft Exchange 2019
Microsoft Exchange 2010
安全建议
1、微软官方已针对该批漏洞发布相关安全更新补丁,可按照以下链接进行升级:
CVE-2021-26855 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-26857 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-26858 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-27065 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
2、若无法直接升级,可参考如下措施来检测是否受到攻击:
针对CVE-2021-26855 Exchange SSRF漏洞,可以通过以下Exchange HttpProxy日志进行检测:
通过以下Powershell可直接进行日志检测,并检查是否受到攻击:
如果检测到了入侵,可以通过以下目录获取攻击者采取了哪些活动
针对 CVE-2021-26857 Unified Messaging service 反序列化漏洞:
该漏洞单独利用难度稍高,可利用以下命令检测日志条目,并检查是否受到攻击。
针对 CVE-2021-26858 Exchange 任意文件写入漏洞:
日志目录:C:\ProgramFiles\Microsoft\ExchangeServer\V15\Logging\OABGeneratorLog
可通过以下命令进行快速浏览,并检查是否受到攻击:
针对 CVE-2021-27065 Exchange 任意文件写入漏洞:
通过以下powershell命令进行日志检测,并检查是否遭到攻击:
相关链接
1、https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
2、https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
安全云中心应急漏洞模块已支持对该漏洞一键检测
我们会关注后续进展,请随时关注官方公告。
内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。
本站安全专题
2021.03.03
