近日，奇安信CERT監(jiān)測(cè)到微軟修復(fù)了Microsoft Exchange多個(gè)高危漏洞。通過組合利用這些漏洞能夠在未經(jīng)身份驗(yàn)證的情況下遠(yuǎn)程獲取目標(biāo)服務(wù)器權(quán)限。其中包括CVE-2021-26855: 服務(wù)端請(qǐng)求偽造漏洞、CVE-2021-26857不安全的反序列化漏洞。CVE-2021-26858/CVE-2021-27065任意文件寫入漏洞，在通過身份驗(yàn)證后攻擊者可以利用該漏洞將文件寫入服務(wù)器的任意路徑。

　　據(jù)報(bào)道，目前已經(jīng)出現(xiàn)利用這些漏洞進(jìn)行的定向攻擊事件。奇安信安全專家測(cè)試確認(rèn)，組合使用漏洞無需驗(yàn)證和交互即可觸發(fā)遠(yuǎn)程代碼執(zhí)行，危害極大，建議客戶盡快修復(fù)漏洞并自查服務(wù)器的安全狀況。

　　當(dāng)前漏洞狀態(tài)

　　漏洞描述

　　近日，奇安信CERT監(jiān)測(cè)到微軟修復(fù)了Microsoft Exchange多個(gè)高危漏洞。通過組合利用這些漏洞能夠在未經(jīng)身份驗(yàn)證的情況下遠(yuǎn)程獲取目標(biāo)服務(wù)器權(quán)限。其中包括：

　　CVE-2021-26855：服務(wù)端請(qǐng)求偽造（SSRF）漏洞，通過該漏洞，攻擊者可以發(fā)送任意HTTP請(qǐng)求并通過Exchange Server進(jìn)行身份驗(yàn)證，獲取權(quán)限。

　　CVE-2021-26857：是統(tǒng)一消息服務(wù)中的不安全反序列化漏洞。通過該此漏洞，具有管理員權(quán)限的攻擊者可以在Exchange服務(wù)器上以SYSTEM身份運(yùn)行任意代碼。

　　CVE-2021-26858/CVE-2021-27065：任意文件寫入漏洞，在通過身份驗(yàn)證后攻擊者可以利用該漏洞將文件寫入服務(wù)器的任意路徑。

　　目前微軟稱已經(jīng)監(jiān)測(cè)到了利用該漏洞進(jìn)行攻擊的事件，經(jīng)過奇安信安全專家確認(rèn)，漏洞無需驗(yàn)證和交互即可觸發(fā)遠(yuǎn)程代碼執(zhí)行，危害極大，建議客戶盡快自查修復(fù)。

　　風(fēng)險(xiǎn)等級(jí)

　　奇安信 CERT風(fēng)險(xiǎn)評(píng)級(jí)為：高危

　　風(fēng)險(xiǎn)等級(jí)：藍(lán)色（一般事件）

　　影響范圍

　　CVE-2021-27078/CVE-2021-26855/CVE-2021-26857：

　　Microsoft Exchange Server 2019 Cumulative Update 8

　　Microsoft Exchange Server 2019 Cumulative Update 7

　　Microsoft Exchange Server 2016 Cumulative Update 19

　　Microsoft Exchange Server 2016 Cumulative Update 18

　　Microsoft Exchange Server 2013 Cumulative Update 23

　　CVE-2021-26857：

　　Microsoft Exchange Server 2019 Cumulative Update 8

　　Microsoft Exchange Server 2019 Cumulative Update 7

　　Microsoft Exchange Server 2016 Cumulative Update 19

　　Microsoft Exchange Server 2016 Cumulative Update 18

　　Microsoft Exchange Server 2013 Cumulative Update 23

　　Microsoft Exchange Server 2010 Service Pack 3

　　處置建議

　　使用奇安信天擎的客戶可以通過奇安信天擎控制臺(tái)一鍵更新修補(bǔ)相關(guān)漏洞，也可以通過奇安信天擎客戶端一鍵更新修補(bǔ)相關(guān)漏洞。

　　也可以采用以下官方解決方案及緩解方案來防護(hù)此漏洞：

　　Windows自動(dòng)更新

　　Windows系統(tǒng)默認(rèn)啟用 Microsoft Update，當(dāng)檢測(cè)到可用更新時(shí)，將會(huì)自動(dòng)下載更新并在下一次啟動(dòng)時(shí)安裝。還可通過以下步驟快速安裝更新：

　　1、點(diǎn)擊“開始菜單”或按Windows快捷鍵，點(diǎn)擊進(jìn)入“設(shè)置”

　　2、選擇“更新和安全”，進(jìn)入“Windows更新”（Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通過控制面板進(jìn)入“Windows更新”，步驟為“控制面板”-> “系統(tǒng)和安全”->“Windows更新”）

　　3、選擇“檢查更新”，等待系統(tǒng)將自動(dòng)檢查并下載可用更新

　　4、重啟計(jì)算機(jī)，安裝更新

　　系統(tǒng)重新啟動(dòng)后，可通過進(jìn)入“Windows更新”->“查看更新歷史記錄”查看是否成功安裝了更新。對(duì)于沒有成功安裝的更新，可以點(diǎn)擊該更新名稱進(jìn)入微軟官方更新描述鏈接，點(diǎn)擊最新的SSU名稱并在新鏈接中點(diǎn)擊“Microsoft 更新目錄”，然后在新鏈接中選擇適用于目標(biāo)系統(tǒng)的補(bǔ)丁進(jìn)行下載并安裝。

　　手動(dòng)安裝補(bǔ)丁

　　另外，對(duì)于不能自動(dòng)更新的系統(tǒng)版本（如Windows 7、Windows Server 2008、Windows Server 2008 R2），可參考以下鏈接下載適用于該系統(tǒng)的補(bǔ)丁并安裝：

　　https://msrc.microsoft.com/update-guide/