几十万台 Exchange 服务器已被入侵,修复补丁来了_安全漏洞

微软 Exchange 邮件服务器软件爆出多个 0 日漏洞

微软 Exchange 服务器的独立安装存在一系列缺陷,这导致了一场规模庞大的网络安全事件,有几十万台 Exchange 服务器的安装被黑客组织 Hafnium 入侵。Krebs on Security 报道称,大量的小企业、城镇、城市和地方政府已经被感染,黑客在盗取了数据之余还留下了一个 Web Shell,以便进一步指挥和控制。

受影响的版本

受影响的 Microsoft Exchange Server 版本(Exchange Online 不受影响):

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

漏洞细节

CVE-2021-26855 是Exchange中的服务器端请求伪造(SSRF)漏洞,允许攻击者发送任意HTTP请求并作为Exchange服务器进行身份验证。

CVE-2021-26857 是统一消息服务中不安全的反序列化漏洞。不安全反序列化是指程序反序列化不受信任的用户可控数据。利用此漏洞,铪能够在Exchange服务器上以系统身份运行代码。这需要管理员权限或其他漏洞进行攻击。

CVE-2021-26858 是Exchange中的一个身份验证后任意文件写入漏洞。如果铪可以通过Exchange服务器进行身份验证,则他们可以利用此漏洞将文件写入服务器上的任何路径。他们可以通过利用CVE-2021-26855 SSRF漏洞或通过损害合法管理员的凭据进行身份验证。

CVE-2021-27065 是Exchange中的一个身份验证后任意文件写入漏洞。如果铪可以通过Exchange服务器进行身份验证,则他们可以利用此漏洞将文件写入服务器上的任何路径。他们可以通过利用CVE-2021-26855 SSRF漏洞或通过损害合法管理员的凭据进行身份验证。

详细信息

参看以下页面了解细节(英文):

Microsoft Exchange Server Vulnerabilities Mitigations (March 5, 2021)

Microsoft Security Blog: Hafnium Targeting Exchange (March 2, 2021)

Microsoft on the Issues

Exchange Team Blog

检测工具

微软在其 Microsoft Exchange支持工程师的 GitHub 仓库上发布了一个名为 Test-ProxyLogon.ps1 的 PowerShell 脚本,用于检查 Microsoft Exchange 服务器是否因为最近披露的 ProxyLogon 漏洞被入侵。

补丁下载

需要尽快更新到以下补丁以修复漏洞

下载地址:

前提是您已经更新 Cumulative Update

  • Exchange Server 2019 Cumulative Update (二选一,KB5000871 版本对应)
  • Exchange Server 2016 Cumulative Update (二选一,KB5000871 版本对应)
  • Cumulative Update 23 for Exchange Server 2013

本地下载

如果链接有误请访问 https://sysin.org/article/exchange-patch/ 查看更新或者提交反馈。

  • 包括 Exchange Server 2013/2016/2019 补丁 KB5000871 的简体中文和英文版,和对应的 Cumulative Update 补丁。

百度网盘链接: https://pan.baidu.com/s/1HDMbFYR1YhtKf0uR_A2oEQ 密码: ikff

  • 如果您无法补丁成功,除了尝试临时解决方案,也可以部署额外的 Exchange 服务器,并且更新上述补丁,可以快速迁移并移除已经受到威胁的服务器。
    以下提供 Exchange Server 2013/2016/2019 原版 iso 镜像下载: