随着影响ExchangeServer2016/2019的CVE-2021-42321安全漏洞报告的正式披露,微软也敦促管理员实施修复尽快地。据悉,该漏洞允许经过身份验证的攻击者在易受攻击的服务器上远程执行代码(RCE)。但CVE-2021-42321影响相对有限,仅影响本地MicrosoftExchange服务器,混合模式以外的ExchangeOnline服务无此顾虑。微软解释说,它知道利用漏洞(CVE-2021-42321)进行的有限针对性攻击,特别是ExchangeServer2016/2019中的身份验证后漏洞,并建议管理员立即安装更新以获得保护能力。要快速清点生产环境中所有ExchangeServer(CU和SU)的更新部署,可以使用最新版本的ExchangeServerHealthChecker脚本。要检查是否有任何Exchange服务器容易受到CVE-2021-42321企图攻击,必须在每台服务器上运行以下PowerShell命令以查询事件日志中的特定事件:Get-EventLog-LogNameApplication-Source"MSExchangeCommon"-EntryTypeError|Where-Object{$_.Message-like"*BinaryFormatter.Deserialize*"}BleepingComputer指出,自2021年初以来,Exchange管理员面临两次针对ProxyLogon和ProxyShell漏洞的大规模攻击。自3月初以来,多个黑客组织利用ProxyLogon部署Webshell、加密货币挖矿程序、勒索软件或其他恶意软件,全球数万个组织的25万多台Exchange服务器成为他们的目标。8月,在安全研究人员设法重现有效的漏洞利用之后,攻击者还开始利用ProxyShel漏洞来扫描和破坏MicrosoftExchange服务器。9月,微软添加了一项新的ExchangeServer功能,称为MicrosoftExchangeEmergencyMitigation,简称EM,可为易受攻击的Exchange服务器提供自动保护。它通过自动对高风险安全漏洞应用临时缓解措施来保护本地服务器免受传入攻击,并为管理员提供更多时间来部署安全更新。尴尬的是,尽管微软表示将利用这一新功能缓解CVE-2021-42321等主动利用漏洞,但今天的更新公告仍然没有提及任何有关ExchangeEM投入使用的细节。
