风暴背景
3月2日,谷歌发布了多个针对Microsoft Exchange Server的紧急安全更新公告,涉及7个相关高危漏洞。 据谷歌官方统计,目前已发现4个漏洞被用于犯罪攻击,分别是:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065。 尚未发现被利用的漏洞包括:CVE-2021-26412、CVE-2021-26854、CVE-2021-27078。 谷歌发布公告后,发现黑客团伙,开始利用相关漏洞进行成功攻击。
Exchange Server是Google电子短信服务的一个组件,也是一个提供开发工作流程、知识管理系统、Web系统或其他消息系统的协作平台。 据网空测绘数据显示,中国已安装ExchangeServer服务套件超过18万套,中国大陆地区ExchangeServer服务套件安装量排名前五位的地区为广州、上海、北京、江苏、四川。
受影响的 Exchange 版本如下:
交换服务器版本
是否受影响
在线交换
不
交换2003、交换2007
不
交流2010
是的
交换2013、交换2016、交换2019
是的
漏洞概况
该补丁主要针对4个已被利用的高危漏洞:
谷歌发布的相关黑客攻击报告中提到检测网站漏洞软件,攻击者通过这些漏洞获得访问权限后,在受感染服务器上部署WebShell,攻击者可以通过WebShell窃取数据并执行其他恶意操作。 同时检测网站漏洞软件,还发现黑客从受感染的系统中下载了与Exchange相关的数据地址簿,其中包含有关组织和用户的信息。
使固定
已安装Exchange Server服务套件的用户可以下载受影响版本的最新官方补丁并安装。 建议安装前做好系统备份。
相关补丁下载地址如下:
上面链接的补丁适用于以下版本的 Exchange Server:
对于以上版本列表之外的旧版本用户,请参考以下官方补丁修复方案。
交换服务器版本
官方补丁安装解决方案链接
交换服务器2010
er-2010-service-pack-3-march-2-2021-kb5000978-894f27
bf-281e-44f8-b9ba-dad705534459
交换服务器2013
交换服务器 2016
er-2019-2016-和-2013-3月2-2021-kb5000871-9800a6b
b-0a21-4ee7-b9da-fa85b3e1d23b
交换服务器 2019
er-2019-2016-和-2013-3月2-2021-kb5000871-9800a6b
b-0a21-4ee7-b9da-fa85b3e1d23b
检查工具
在没有为安装受影响版本的 Exchange Server 的用户提供完整补丁的情况下,谷歌发布了免费工具和手册来帮助监控黑客是否利用了相关漏洞。
相关工具链接如下:
相关工具文件
功能
测试-ProxyLogon.ps1
此脚本检查 CVE-2021-26855、26858、26857 和 27065 中的被利用症状
交换缓解.ps1
该脚本包含 4 个缓解措施,可帮助解决相关漏洞:CVE-2021-26855、CVE-2021-26857、CVE-2021-27065、CVE-2021-26858
比较交换哈希.ps1
该脚本通过比较文件哈希来测量在 ES13/ES16/ES19 环境中运行的已知恶意文件
后端cookieMitigation.ps1
此脚本包含 CVE-2021-26855 的缓解措施