近日,奇安信CERT监测到微软修复了Microsoft Exchange多个高危漏洞。通过组合利用这些漏洞能够在未经身份验证的情况下远程获取目标服务器权限。其中包括CVE-2021-26855: 服务端请求伪造漏洞、CVE-2021-26857不安全的反序列化漏洞。CVE-2021-26858/CVE-2021-27065任意文件写入漏洞,在通过身份验证后攻击者可以利用该漏洞将文件写入服务器的任意路径。
据报道,目前已经出现利用这些漏洞进行的定向攻击事件。奇安信安全专家测试确认,组合使用漏洞无需验证和交互即可触发远程代码执行,危害极大,建议客户尽快修复漏洞并自查服务器的安全状况。
当前漏洞状态
细节是否公开 | PoC状态 |
EXP状态 | 在野利用 |
是(部分) | 未知 | 未知 | 已发现 |
漏洞描述
近日,奇安信CERT监测到微软修复了Microsoft Exchange多个高危漏洞。通过组合利用这些漏洞能够在未经身份验证的情况下远程获取目标服务器权限。其中包括:
CVE-2021-26855:服务端请求伪造(SSRF)漏洞,通过该漏洞,攻击者可以发送任意HTTP请求并通过Exchange Server进行身份验证,获取权限。
CVE-2021-26857:是统一消息服务中的不安全反序列化漏洞。通过该此漏洞,具有管理员权限的攻击者可以在Exchange服务器上以SYSTEM身份运行任意代码。
CVE-2021-26858/CVE-2021-27065:任意文件写入漏洞,在通过身份验证后攻击者可以利用该漏洞将文件写入服务器的任意路径。
目前微软称已经监测到了利用该漏洞进行攻击的事件,经过奇安信安全专家确认,漏洞无需验证和交互即可触发远程代码执行,危害极大,建议客户尽快自查修复。
风险等级
奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)
影响范围
CVE-2021-27078/CVE-2021-26855/CVE-2021-26857:
Microsoft Exchange Server 2019 Cumulative Update 8
Microsoft Exchange Server 2019 Cumulative Update 7
Microsoft Exchange Server 2016 Cumulative Update 19
Microsoft Exchange Server 2016 Cumulative Update 18
Microsoft Exchange Server 2013 Cumulative Update 23
CVE-2021-26857:
Microsoft Exchange Server 2019 Cumulative Update 8
Microsoft Exchange Server 2019 Cumulative Update 7
Microsoft Exchange Server 2016 Cumulative Update 19
Microsoft Exchange Server 2016 Cumulative Update 18
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2010 Service Pack 3
处置建议
使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。
也可以采用以下官方解决方案及缓解方案来防护此漏洞:
Windows自动更新
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新
4、重启计算机,安装更新
系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
手动安装补丁
另外,对于不能自动更新的系统版本(如Windows 7、Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的补丁并安装:
https://msrc.microsoft.com/update-guide/
参考资料
[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
[2]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
[3]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
[4]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
时间线
2021年3月3日,奇安信 CERT发布安全风险通告
文章来源: 奇安信 CERT
原文始发于微信公众号(互联网安全内参):无需验证和交互,微软Exchange严重组合漏洞安全风险通告