微軟Exchange曝多個高危漏洞,無需驗證交互即可觸發
3月2日,微軟發布了Microsoft Exchange Server的安全更新公告,其中包含多個Exchange Server嚴重安全漏洞,危害等級為“高危”,漏洞編號分別為CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065。
Exchange Server是微軟公司的一套電子郵件服務組件,是個消息與協作系統,主要提供包括從電子郵件、會議安排、團體日程管理、任務管理、文檔管理、實時會議和工作流等協作應用。
漏洞詳情
(1) CVE-2021-26855
該漏洞是Exchange中的服務端請求偽造漏洞(SSRF),利用此漏洞的攻擊者能夠發送任意HTTP請求并繞過Exchange Server身份驗證,遠程未授權的攻擊者可以利用該漏洞以進行內網探測,并可以用于竊取用戶郵箱的全部內容。
危害:該漏洞是Exchange中的服務端請求偽造漏洞(SSRF),利用此漏洞的攻擊者能夠發送任意HTTP請求并繞過Exchange Server身份驗證,遠程未授權的攻擊者可以利用該漏洞以進行內網探測,并可以用于竊取用戶郵箱的全部內容。
(2) CVE-2021-26857
該漏洞是Unified Messaging 服務中的不安全的反序列化漏洞。利用該漏洞,攻擊者可以發送精心構造的惡意請求,從而在Exchange Server上以SYSTEM身份執行任意代碼。
危害:該漏洞是Unified Messaging 服務中的不安全的反序列化漏洞。利用該漏洞,攻擊者可以發送精心構造的惡意請求,從而在Exchange Server上以SYSTEM身份執行任意代碼。
(3) CVE-2021-26858
該漏洞是Exchange中的任意文件寫入漏洞。該漏洞需要進行身份認證,利用此漏洞可以將文件寫入服務器上的任何路徑。并可以結合利用CVE-2021-26855 SSRF漏洞或繞過權限認證進行文件寫入。
危害:該漏洞是Exchange中的任意文件寫入漏洞。該漏洞需要進行身份認證,利用此漏洞可以將文件寫入服務器上的任何路徑。并可以結合利用CVE-2021-26855 SSRF漏洞或繞過權限認證進行文件寫入。
(4) CVE-2021-27065
該漏洞是Exchange中的任意文件寫入漏洞。該漏洞需要進行身份認證,利用此漏洞可以將文件寫入服務器上的任何路徑。并可以結合利用CVE-2021-26855 SSRF漏洞或繞過權限認證進行文件寫入。
危害:該漏洞是Exchange中的任意文件寫入漏洞。該漏洞需要進行身份認證,利用此漏洞可以將文件寫入服務器上的任何路徑。并可以結合利用CVE-2021-26855 SSRF漏洞或繞過權限認證進行文件寫入。
影響范圍
- Microsoft Exchange 2013
- Microsoft Exchange 2016
- Microsoft Exchange 2019
- Microsoft Exchange 2010
防范措施
(1) 微軟官方已經發布了解決上述漏洞的安全更新,建議受影響用戶盡快升級到安全版本,官方安全版本下載可以參考以下鏈接:
- CVE-2021-26855: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
- CVE-2021-26857: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
- CVE-2021-26858: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
- CVE-2021-27065: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
(2) 若無法及時進行升級,建議采用官方的臨時措施進行防御:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
