隨著影響 Exchange Server 2016 / 2019 的 CVE-2021-42321 安全漏洞報(bào)告的正式披露,微軟也正在敦促管理員盡快實(shí)施修復(fù)。據(jù)悉,該漏洞允許經(jīng)過(guò)身份驗(yàn)證的攻擊者,在易受攻擊的服務(wù)器上遠(yuǎn)程執(zhí)行代碼(RCE)。不過(guò) CVE-2021-42321 的影響相對(duì)有限,僅波及本地的 Microsoft Exchange 服務(wù)器,混合模式之外的 Exchange Online 服務(wù)無(wú)此顧慮。
微軟解釋稱(chēng),其已知曉利用某個(gè)漏洞(CVE-2021-42321)實(shí)施有限針對(duì)性攻擊,具體說(shuō)來(lái)是 Exchange Server 2016 / 2019 中的一個(gè)身份驗(yàn)證后漏洞,因而建議管理員立即安裝更新以獲得防護(hù)能力。
如需快速清點(diǎn)生產(chǎn)環(huán)境中的所有 Exchange Server(CU & SU)的更新部署情況,可借助最新版本的 Exchange Server Health Checker 腳本來(lái)實(shí)現(xiàn)。
如需檢查是否有任何一臺(tái) Exchange Server 受到了嘗試性的 CVE-2021-42321 攻擊,則必須在每臺(tái)服務(wù)器上運(yùn)行如下 PowerShell 命令,以查詢事件日志中的特定事件:
- Get-EventLog-LogNameApplication-Source"MSExchangeCommon"-EntryTypeError|Where-Object{$_.Message-like"*BinaryFormatter.Deserialize*"}
Bleeping Computer指出,自 2021 年初以來(lái),Exchange 管理員已經(jīng)遭遇了兩波針對(duì) ProxyLogon 和 ProxyShell 漏洞的大規(guī)模攻擊。
- 3 月初開(kāi)始,多個(gè)黑客組織利用 ProxyLogon 部署 Web Shell、加密貨幣挖礦程序、勒索或其它惡意軟件,全球數(shù)萬(wàn)個(gè)組織中超過(guò) 25 萬(wàn)臺(tái) Exchange 服務(wù)器都成為了他們的目標(biāo)。
- 8 月,在安全研究人員設(shè)法重現(xiàn)了有效的漏洞利用之后,攻擊者還開(kāi)始利用 ProxyShel 漏洞來(lái)掃描和入侵 Microsoft Exchange 服務(wù)器。
- 9 月,微軟添加了一項(xiàng)名為 Microsoft Exchange Emergency Mitigation(簡(jiǎn)稱(chēng) EM)的新 Exchange Server 功能,可為易受攻擊的 Exchange 服務(wù)器提供自動(dòng)保護(hù)。
其通過(guò)自動(dòng)應(yīng)用針對(duì)高風(fēng)險(xiǎn)安全錯(cuò)誤的臨時(shí)緩解措施,來(lái)保護(hù)本地服務(wù)器免受傳入攻擊,并為管理員提供更多時(shí)間來(lái)部署安全更新。
尷尬的是,盡管微軟表示會(huì)借助這項(xiàng)新功能來(lái)緩解 CVE-2021-42321 等主動(dòng)利用漏洞,但今日更新的公告中仍未提及任何有關(guān) Exchange EM 已投入使用的細(xì)節(jié)。
