1、漏洞背景描述
2021年3月3日,微软发布了Exchange存在多个高危漏洞的风险通告,其中包括Exchange服务端请求伪造漏洞(CVE-2021-26855)、Exchange反序列化漏洞(CVE-2021-26857)和Exchange任意文件写入漏洞(CVE-2021-26858/CVE-2021-27065)。
建议相关用户尽快将Exchange升级到最新版本,以降低安全风险。
2、漏洞概述
Microsoft Exchange Server是美国微软公司的一套电子邮件服务程序,它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。
Exchange服务器端请求伪造漏洞(CVE-2021-26855):利用此漏洞的攻击者能够发送任意HTTP请求并通过Exchange Server进行身份验证。
Exchange反序列化漏洞(CVE-2021-26857):该漏洞需要管理员权限,利用此漏洞的攻击者可以在Exchange服务器上以SYSTEM身份运行代码。
Exchange任 意 文 件 写 入 漏 洞 (CVE-2021-26858/CVE-2021-27065):攻击者通过Exchange服务器进行身份验证后,可以利用此漏洞将文件写入服务器上的任何路径。该漏洞可以配合CVE-2021-26855进行组合攻击。
3、漏洞风险
攻击者成功利用上述漏洞,可实现绕过身份验证、任意文件写入和任意代码执行。
4、漏洞影响
Microsoft Exchange 2013/2016/2019/2010
5、修复建议
目前,官方已发布安全更新,建议相关用户尽快升级。升级链接如下:
CVE-2021-26855:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-26857:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-26858:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-27065:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
参考链接:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/