2021年 3 月 3 日,微软公司披露 Exchange 系统存在多个高风险的漏洞,包括: CVE-2021-26855 服务端请求伪造漏洞、 CVE-2021-26857 序列化漏洞、 CVE-2021-26858 和 CVE-2021-27065 任意文件写入漏洞。
建议各用户做好系统资产安全自查以及防御工作,防止非法入侵事件的发生。
【漏洞描述】
1. CVE-2021-26855服务端请求伪造漏洞
无需身份验证,攻击者可对Exchange Server的发起任意HTTP请求,从而扫描内网并可获取Exchange用户信息。
2. CVE-2021-26857 反序列化漏洞
在拥有Exchange 管理员权限及利用其他漏洞情况下,攻击者通过构造恶意请求可触发反序列化漏洞,对系统执行任意代码。
3. CVE-2021-26858 和 CVE-2021-27065 任意文件写入漏洞
拥有Exchange 管理员权限或结合CVE-2021-26855漏洞,通过构造恶意请求,可对系统写入任意文件。
【影响版本】
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
【修复方案】
对应的漏洞,微软已发布相关安全补丁,各用户及时进行升级:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
【 监测防范】
可通过如下监测方法,来判断系统是否受到对应漏洞的恶意攻击:
1.CVE-2021-26855通过Exchange HttpProxy日志检测:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
通过PowerShell可直接进行日志检测以及检查是否受到攻击:
Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*