2021年3月4日,国家信息安全漏洞共享平台(CNVD)收录了Microsoft Exchange Server远程代码执行漏洞(CNVD-2021-14768、CNVD-2021-14769、CNVD-2021-14770,对应CVE-2021-26854、CVE-2021-26412、CVE-2021-27078)、Microsoft Exchange Server任意文件写入漏洞(CNVD-2021-14810、CNVD-2021-14811,对应CVE-2021-27065、CVE-2021-26858)、Microsoft Exchange Server反序列化漏洞(CNVD-2021-14812,对应CVE-2021-26857)、Microsoft Exchange Server请求伪造漏洞(CNVD-2021-14813,对应CVE-2021-26855)。攻击者综合利用上述漏洞,可在未授权的情况远程执行代码。目前,部分漏洞细节已公开,微软官方已发布新版本修复漏洞,建议用户尽快更新至最新版本进行修复。
一、漏洞情况分析
Exchange是微软公司开发的一套电子邮件服务组件。Exchange不仅支持传统的电子邮件的存取、储存、转发功能,新版本产品中还支持语音邮件、邮件过滤筛选和OWA等辅助功能。
2021年3月2日,微软公司发布了关于Exchange 服务的紧急安全更新,修复了7个相关漏洞:
1)Exchange 服务端请求伪造漏洞(CVE-2021-26855):未经授权的攻击者利用该漏洞,可发送任意HTTP请求并通过Exchange服务身份验证。
2)Exchange 反序列化漏洞(CVE-2021-26857):具有管理员(administrator)权限的攻击者利用该漏洞通过发送恶意请求,实现在Exchange服务器上以SYSTEM身份的任意代码执行。该漏洞单独利用须具备较高的前提条件。
3)Exchange任意文件写入漏洞(CVE-2021-26858/CVE-2021-27065):经过Exchange服务身份验证的攻击者,利用该漏洞,可实现对服务器的任意目录文件写入。
4)Exchange远程代码执行漏洞(CVE-2021-26412/CVE-2021-26854/CVE-2021-27078):攻击者利用此漏洞,可获得目标服务器的权限,最终在服务器上的任意代码执行。
CNVD对上述漏洞的综合评级为“高危”。
二、漏洞影响范围
漏洞影响的产品版本包括:
Exchange Server 2013
Exchange Server 2016
Exchange Server 2019
Exchange Server 2010
CNVD组织技术支撑单位对Microsoft Exchange服务在我国境内的分布情况进行了分析统计,数据显示我国大陆地区共有27825个IP(IP端口)开启了Exchange服务。我平台以Exchange服务端请求伪造漏洞为例开展了漏洞普测工作,结果显示我国大陆地区共有1466台服务器(IP端口)存在该漏洞,受影响比例约为5.3%。
三、漏洞处置建议
目前,微软公司已发布新版本修复上述漏洞,CNVD建议用户立即升级至最新版本,避免引发漏洞相关的网络安全事件。
各单位、各部门要高度重视及时警示,堵塞漏洞,消除安全隐患,提高安全防范能力。如发现所管理网站、信息系统涉及上述安全隐患及时处置并上报网信办。
(转自 国家信息安全漏洞共享平台)
网络安全和信息化办公室
2021年3月16日