3月2日,微软发布了MicrosoftExchangeServer的安全更新公告,其中包含多个严重的ExchangeServer安全漏洞,危害等级为“高危””。漏洞编号为CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065。ExchangeServer是微软公司的一套电子邮件服务组件。它是一个消息和协作系统,主要提供协作应用,包括电子邮件、会议安排、群组日程管理、任务管理、文档管理、实时会议和工作流。漏洞详情(一)CVE-2021-26855该漏洞为Exchange服务器请求伪造漏洞(SSRF)。利用此漏洞的攻击者可以发送任意HTTP请求并绕过ExchangeServer身份验证。远程未授权攻击者该漏洞可用于内网检测,可用于窃取用户邮箱的所有内容。危害:该漏洞是Exchange中的服务器端请求伪造漏洞(SSRF)。利用此漏洞的攻击者可以发送任意HTTP请求并绕过ExchangeServer身份验证。远程未授权攻击者可利用此漏洞访问内网检测,并可用于窃取用户邮箱的全部内容。(2)CVE-2021-26857该漏洞是统一消息服务中的不安全反序列化漏洞。通过利用此漏洞,攻击者可以发送精心设计的恶意请求以SYSTEM身份在ExchangeServer上执行任意代码。危害:该漏洞是统一消息服务中的不安全反序列化漏洞。通过利用此漏洞,攻击者可以发送精心设计的恶意请求以SYSTEM身份在ExchangeServer上执行任意代码。(3)CVE-2021-26858该漏洞为Exchange任意文件写入漏洞。该漏洞需要认证,利用该漏洞可以将文件写入服务器任意路径。并且可以结合使用CVE-2021-26855SSRF漏洞或者绕过权限认证写入文件。危害:该漏洞是Exchange中的任意文件写入漏洞。该漏洞需要认证,利用该漏洞可以将文件写入服务器任意路径。并且可以结合使用CVE-2021-26855SSRF漏洞或者绕过权限认证写入文件。(4)CVE-2021-27065该漏洞为Exchange任意文件写入漏洞。该漏洞需要认证,利用该漏洞可以将文件写入服务器任意路径。并且可以结合使用CVE-2021-26855SSRF漏洞或者绕过权限认证写入文件。危害:该漏洞是Exchange中的任意文件写入漏洞。该漏洞需要认证,利用该漏洞可以将文件写入服务器任意路径。并且可以结合使用CVE-2021-26855SSRF漏洞或者绕过权限认证写入文件。影响范围MicrosoftExchange2013MicrosoftExchange2016MicrosoftExchange2019MicrosoftExchange2010应对措施(一)微软官方已发布安全更新解决上述漏洞,建议受影响用户尽快升级至安全版本。官方安全版下载可参考以下链接:CVE-2021-26855:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855CVE-2021-26857:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857CVE-2021-26858:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858CVE-2021-27065:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065(2)如果不能及时升级,建议采用官方临时防御措施:https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
