微软官方发布了Microsoft ExchangeServer的多个漏洞更新,攻击者可以利用相关漏洞在无需用户交互的情况下攻击指定Exchange服务器,执行任意代码。由于其中有4个漏洞已经发现在野攻击,影响较为严重,我们建议相关用户客户尽快进行漏洞修复,以防止受到攻击。
一、漏洞描述
已被利用的4个漏洞:
CVE-2021-26855: Exchange服务器端请求伪造(SSRF)漏洞,利用此漏洞的攻击者能够发送任意HTTP请求并通过Exchange Server进行身份验证。
CVE-2021-26857: Exchange反序列化漏洞,该漏洞需要管理员权限,利用此漏洞的攻击者可以在Exchange服务器上以SYSTEM身份运行代码。
CVE-2021-26858/CVE-2021-27065: Exchange中身份验证后的任意文件写入漏洞。攻击者通过Exchange服务器进行身份验证后,可以利用此漏洞将文件写入服务器上的任何路径。该漏洞可以配合CVE-2021-26855 SSRF漏洞进行组合攻击。
二、影响范围
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
三、修复建议
微软官方已发布相关安全更新,建议部署Exchange的政企用户尽快升级修补:
产品 :Microsoft Exchange Server 2010 Service Pack 3 补丁号:KB5000978
产品 :Microsoft Exchange Server 2019 Cumulative Update 8 补丁号:KB5000871
产品 :Microsoft Exchange Server 2016 Cumulative Update 19 补丁号:KB5000871
产品 :Microsoft Exchange Server 2016 Cumulative Update 18 补丁号:KB5000871
产品 :Microsoft Exchange Server 2019 Cumulative Update 7 补丁号: KB5000871
产品 : Microsoft Exchange Server 2013 Cumulative Update23 补丁号:KB5000871
注:修复漏洞前请先备份重要资料
微软官方通告: