《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 无需验证和交互,微软Exchange严重组合漏洞安全风险通告

无需验证和交互,微软Exchange严重组合漏洞安全风险通告

2021-03-03
来源:互联网安全内参

  近日,奇安信CERT监测到微软修复了Microsoft Exchange多个高危漏洞。通过组合利用这些漏洞能够在未经身份验证的情况下远程获取目标服务器权限。其中包括CVE-2021-26855: 服务端请求伪造漏洞、CVE-2021-26857不安全的反序列化漏洞。CVE-2021-26858/CVE-2021-27065任意文件写入漏洞,在通过身份验证后攻击者可以利用该漏洞将文件写入服务器的任意路径。

  据报道,目前已经出现利用这些漏洞进行的定向攻击事件。奇安信安全专家测试确认,组合使用漏洞无需验证和交互即可触发远程代码执行,危害极大,建议客户尽快修复漏洞并自查服务器的安全状况。

  当前漏洞状态

微信截图_20210303140719.png

  漏洞描述

  近日,奇安信CERT监测到微软修复了Microsoft Exchange多个高危漏洞。通过组合利用这些漏洞能够在未经身份验证的情况下远程获取目标服务器权限。其中包括:

  CVE-2021-26855:服务端请求伪造(SSRF)漏洞,通过该漏洞,攻击者可以发送任意HTTP请求并通过Exchange Server进行身份验证,获取权限。

  CVE-2021-26857:是统一消息服务中的不安全反序列化漏洞。通过该此漏洞,具有管理员权限的攻击者可以在Exchange服务器上以SYSTEM身份运行任意代码。

  CVE-2021-26858/CVE-2021-27065:任意文件写入漏洞,在通过身份验证后攻击者可以利用该漏洞将文件写入服务器的任意路径。

  目前微软称已经监测到了利用该漏洞进行攻击的事件,经过奇安信安全专家确认,漏洞无需验证和交互即可触发远程代码执行,危害极大,建议客户尽快自查修复。

  风险等级

  奇安信 CERT风险评级为:高危

  风险等级:蓝色(一般事件)

  影响范围

  CVE-2021-27078/CVE-2021-26855/CVE-2021-26857:

  Microsoft Exchange Server 2019 Cumulative Update 8

  Microsoft Exchange Server 2019 Cumulative Update 7

  Microsoft Exchange Server 2016 Cumulative Update 19

  Microsoft Exchange Server 2016 Cumulative Update 18

  Microsoft Exchange Server 2013 Cumulative Update 23

  CVE-2021-26857:

  Microsoft Exchange Server 2019 Cumulative Update 8

  Microsoft Exchange Server 2019 Cumulative Update 7

  Microsoft Exchange Server 2016 Cumulative Update 19

  Microsoft Exchange Server 2016 Cumulative Update 18

  Microsoft Exchange Server 2013 Cumulative Update 23

  Microsoft Exchange Server 2010 Service Pack 3

  处置建议

  使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。

  也可以采用以下官方解决方案及缓解方案来防护此漏洞:

  Windows自动更新

  Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:

  1、点击“开始菜单”或按Windows快捷键,点击进入“设置”

  2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)

  3、选择“检查更新”,等待系统将自动检查并下载可用更新

  4、重启计算机,安装更新

  系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。

  手动安装补丁

  另外,对于不能自动更新的系统版本(如Windows 7、Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的补丁并安装:

  https://msrc.microsoft.com/update-guide/

 


本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。