隨着影響 Exchange Server 2016 / 2019 的 CVE-2021-42321 安全漏洞報告的正式披露,微軟也正在敦促管理員儘快實施修復。據悉,該漏洞允許經過身份驗證的攻擊者,在易受攻擊的服務器上遠程執行代碼(RCE)。不過 CVE-2021-42321 的影響相對有限,僅波及本地的 Microsoft Exchange 服務器,混合模式之外的 Exchange Online 服務無此顧慮。
微軟解釋稱,其已知曉利用某個漏洞(CVE-2021-42321)實施有限針對性攻擊,具體說來是 Exchange Server 2016 / 2019 中的一個身份驗證后漏洞,因而建議管理員立即安裝更新以獲得防護能力。
如需快速清點生產環境中的所有 Exchange Server(CU & SU)的更新部署情況,可藉助最新版本的 Exchange Server Health Checker 腳本來實現。
如需檢查是否有任何一台 Exchange Server 受到了嘗試性的 CVE-2021-42321 攻擊,則必須在每台服務器上運行如下 PowerShell 命令,以查詢事件日誌中的特定事件:
Get-EventLog -LogName Application -Source “MSExchange Common” -EntryType Error | Where-Object { $_.Message -like “*BinaryFormatter.Deserialize*” }
Bleeping Computer 指出,自 2021 年初以來,Exchange 管理員已經遭遇了兩波針對 ProxyLogon 和 ProxyShell 漏洞的大規模攻擊。
3 月初開始,多個黑客組織利用 ProxyLogon 部署 Web Shell、加密貨幣挖礦程序、勒索或其它惡意軟件,全球數萬個組織中超過 25 萬台 Exchange 服務器都成為了他們的目標。
8 月,在安全研究人員設法重現了有效的漏洞利用之後,攻擊者還開始利用 ProxyShel 漏洞來掃描和入侵 Microsoft Exchange 服務器。
9 月,微軟添加了一項名為 Microsoft Exchange Emergency Mitigation(簡稱 EM)的新 Exchange Server 功能,可為易受攻擊的 Exchange 服務器提供自動保護。
其通過自動應用針對高風險安全錯誤的臨時緩解措施,來保護本地服務器免受傳入攻擊,並為管理員提供更多時間來部署安全更新。
尷尬的是,儘管微軟表示會藉助這項新功能來緩解 CVE-2021-42321 等主動利用漏洞,但今日更新的公告中仍未提及任何有關 Exchange EM 已投入使用的細節。