微軟官方發(fā)布了Microsoft ExchangeServer的多個漏洞更新,攻擊者可以利用相關漏洞在無需用戶交互的情況下攻擊指定Exchange服務器,執行任意代碼。由于其中有4個漏洞已經(jīng)發(fā)現在野攻擊,影響較爲嚴重,我們建議相關用戶客戶盡快進(jìn)行漏洞修複,以防止受到攻擊。
一、漏洞描述
已被(bèi)利用的4個漏洞:
CVE-2021-26855: Exchange服務器端請求僞造(SSRF)漏洞,利用此漏洞的攻擊者能(néng)夠發(fā)送任意HTTP請求并通過(guò)Exchange Server進(jìn)行身份驗證。
CVE-2021-26857: Exchange反序列化漏洞,該漏洞需要管理員權限,利用此漏洞的攻擊者可以在Exchange服務器上以SYSTEM身份運行代碼。
CVE-2021-26858/CVE-2021-27065: Exchange中身份驗證後(hòu)的任意文件寫入漏洞。攻擊者通過(guò)Exchange服務器進(jìn)行身份驗證後(hòu),可以利用此漏洞將(jiāng)文件寫入服務器上的任何路徑。該漏洞可以配合CVE-2021-26855 SSRF漏洞進(jìn)行組合攻擊。
二、影響範圍
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
三、修複建議
微軟官方已發(fā)布相關安全更新,建議部署Exchange的政企用戶盡快升級修補:
産品 :Microsoft Exchange Server 2010 Service Pack 3 補丁号:KB5000978
産品 :Microsoft Exchange Server 2019 Cumulative Update 8 補丁号:KB5000871
産品 :Microsoft Exchange Server 2016 Cumulative Update 19 補丁号:KB5000871
産品 :Microsoft Exchange Server 2016 Cumulative Update 18 補丁号:KB5000871
産品 :Microsoft Exchange Server 2019 Cumulative Update 7 補丁号: KB5000871
産品 : Microsoft Exchange Server 2013 Cumulative Update23 補丁号:KB5000871
注:修複漏洞前請先備份重要資料
微軟官方通告: