微软于2021年3月2日发布公告,我们检测到多个利用“零日漏洞”来攻击Microsoft Exchange Server的有限的,有针对性的攻击事件。在我们观察到的攻击中,攻击者利用漏洞访问企业的本地Exchange Server环境,使其能够访问电子邮件帐户,并允许安装额外的恶意软件,以方便长期访问受害者环境。
最近被利用的漏洞有CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065,所有这些漏洞都在今天的微软安全响应中心(MSRC)发布的多个Exchange Server安全更新中得到了解决。我们强烈建议贵司立即部署以下针对本地Exchange Server环境的更新(包括累积更新和安全更新)。如果您在使用Microsoft 365 或 Office 365的Exchange Online则不受影响。
受影响的环境
Exchange Server 2013, 2016, 2019版本均受到影响。
Microsoft 365 或 Office 365 Exchange Online则不受影响。
漏洞的严重性、影响和基础CVSS评估
这组漏洞包括远程代码执行漏洞,其严重程度评级为紧急。该组漏洞中最高的基础CVSS分数为9.1。微软了解到已经开始有黑客利用此版本中的四个Exchange Server漏洞,对企业内部的Exchange服务器进行了有限的针对性攻击。
微软采取了什么措施?作为客户需要采取什么动作?
微软为以下版本的Exchange Server发布了一系列安全更新,我们建议立即安装这些更新,以防止可能的攻击。
Exchange Server 2010 (RU 31 for Service Pack 3 – this is a Defense in Depth update)
Exchange Server 2013 (CU 23)
Exchange Server 2016 (CU 19, CU 18)
Exchange Server 2019 (CU 8, CU 7)
请注意:
Microsoft 提供的安全更新支持安装在Exchange Server 2016 和 Exchange Server 2019 最近的两个版本的累积更新 (CU)上,支持安装在Exchange Server 2010 和 Exchange Server 2013最新版本的更新汇总 (UR) 和累积更新 (CU)上。
任何未更新的 Exchange Server都需要安装受支持的 UR 或 CU,然后才能安装新的安全更新。
您可以使用 Exchange Server Health Checker 脚本,该脚本可从 GitHub 下载(使用最新版本)。运行此脚本将告诉您被检查的Exchange服务器是否需要更新(请注意,该脚本不支持 Exchange Server 2010)。
Exchange 管理员应考虑更新过时的 Exchange 服务器UR或CU所需的额外时间。
尊敬的客户,
是否需要优先处理特定的Exchange Server?
是的。面向互联网的 Exchange Server(例如,发布Outlook on the web/OWA 和ECP的Exchange服务器)的风险较高,应首先更新这些服务器。您的服务计划应包括确定和优先处理面向互联网的Exchange服务器。
有针对这些攻击的临时缓解方法吗?
这些漏洞被用作攻击链的一部分。最初的攻击需要能够对Exchange服务器的443端口进行不受信任的连接。可以通过限制不受信任的连接,或通过设置VPN将Exchange服务器与外部访问分开来防止这种攻击。使用这种缓解措施只能防止攻击的初始部分;如果攻击者已经有了访问权限,或者可以说服管理员运行恶意文件,则可以触发攻击链的其他部分。
我该如何寻求帮助?
请致电我们:010-88472430、010-88472429、010-88473540