微软安全漏洞信息提示

2021-03-10366

3月2日,微软发布的紧急安全更新实际上涵盖7个相关漏洞。其中4个为0day漏洞,也是出现实际利用、影响大量用户的几个主要漏洞。详情如下:


* Exchange 服务端请求伪造漏洞(CVE-2021-26855):未经授权的攻击者利用该漏洞,可发送任意HTTP请求并通过Exchange服务身份验证;

* Exchange 反序列化漏洞(CVE-2021-26857):具有管理员(administrator)权限的攻击者利用该漏洞通过发送恶意请求,实现在Exchange服务器上以SYSTEM身份的任意代码执行。该漏洞单独利用须具备较高的前提条件;

* Exchange任意文件写入漏洞(CVE-2021-26858 / CVE-2021-27065):经过Exchange服务身份验证的攻击者,利用该漏洞,可实现对服务器的任意目录文件写入;


四个漏洞被合称为 ProxyLogon。总结来说,利用这些漏洞,可以直接访问邮件内容,并创建 web shell 劫持系统、远程执行命令。目前来看,这些漏洞只影响Exchange的本地版本(Exchange Server 2013;Exchange Server 2016;Exchange Server 2019;Exchange Server 2010)。暂时没有发现 Exchange online或云计算版本受到影响的案例。


关于漏洞的实际影响范围和严重程度,微软还没有给出明确回应。但是根据短短一周内不断攀升的受影响用户数字来看,可能这次漏洞的影响比想象中严重。从 3 月 2 日至今,微软除了发布补丁,也发布了一系列检查和应对指南。


* 缓解措施(3月6日更新):https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/ 

* 安全补丁(3月8日更新):https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/ 

* 安全检查代码(GitHub):https://github.com/microsoft/CSS-Exchange/tree/main/Security

* IoC:https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/#scan-log


3月9日,微软还为已经停止支持的 Exchange 服务器提供了补丁:

https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020