随着影响 Exchange Server CVE-2021-42321微软还敦促管理员尽快修复 安全漏洞报告的正式披露。据报道,该漏洞允许身份验证的攻击者远程在易受攻击的服务器上执行代码(RCE)。不过 CVE-2021-42321 的影响相对有限,只影响当地 Microsoft Exchange 服务器,除了混合模式Exchange Online 服务无此顾虑。
微软解释说,它已经知道使用漏洞(CVE-2021-42321)具体来说,实施有限的针对性攻击是 Exchange Server 2016 / 2019 身份验证后出现漏洞,建议管理员立即安装更新以获得保护能力。
如果需要快速清点生产环境中的所有 Exchange Server(CU & SU)更新部署可以使用最新版本的 Exchange Server Health Checker 脚本来实现。
如果需要检查是否有 Exchange Server 尝试性 CVE-2021-42321 攻击必须在每个服务器上运行如下 PowerShell 命令查询事件日志中的具体事件:
Bleeping Computer自2021年初以来,指出 Exchange 管理员已经遇到了两波针对 ProxyLogon 和 ProxyShell 大规模攻击漏洞。
- 3 从月初开始,许多黑客组织使用 ProxyLogon 部署 Web Shell、全球数万个组织中有25万台 Exchange 服务器已经成为他们的目标。
- 8 在安全研究人员试图重现有效利用漏洞后,攻击者也开始使用 ProxyShel 扫描入侵 Microsoft Exchange 服务器。
- 9微软添加了一个名为 月的项目Microsoft Exchange Emergency Mitigation(简称 EM)的新 Exchange Server 功能,可攻击 Exchange 服务器提供自动保护。
通过自动应用高风险安全错误的临时缓解措施,保护当地服务器免受引入攻击,为管理员提供更多的时间部署安全更新。
尴尬的是,尽管微软表示将利用这一新功能来缓解 CVE-2021-42321 等主动利用漏洞,但今天更新的公告中还没有提到 Exchange EM 已投入使用的细节。