Exchange是微软公司开发的一套电子邮件服务组件,不仅支持传统的电子邮件的存取、储存、转发功能,新版本产品中还支持语音邮件、邮件过滤筛选和OWA等辅助功能。Exchange
在全球多个国家广泛应用,也许各位 PWN友的公司或单位、学校就采用了 Exchange Server 服务。
3 月 2 日,微软发布的紧急安全更新实际上涵盖 7 个相关漏洞。其中 4 个为 0day 漏洞,也是出现实际利用、影响大量用户的几个主要漏洞。详情如下:
-
Exchange 服务端请求伪造漏洞(CVE-2021-26855)
:未经授权的攻击者利用该漏洞,可发送任意HTTP请求并通过Exchange服务身份验证;
-
Exchange 反序列化漏洞(CVE-2021-26857)
:具有管理员(administrator)权限的攻击者利用该漏洞通过发送恶意请求,实现在Exchange服务器上以SYSTEM身份的任意代码执行。该漏洞单独利用须具备较高的前提条件;
-
Exchange任意文件写入漏洞(CVE-2021-26858 / CVE-2021-27065)
:经过Exchange服务身份验证的攻击者,利用该漏洞,可实现对服务器的任意目录文件写入;
四个漏洞
被合称为
ProxyLogon。总结来说,利用这些漏洞,可以直接访问邮件内容,并创建 web shell 劫持系统、远程执行命令。
目前来看,这些漏洞只影响Exchange的本地版本(
Exchange Server 2013;Exchange Server 2016;Exchange Server 2019;Exchange Server 2010
)。
暂时没有发现 Exchange online或云计算版本受到影响的案例。
安全网站 KrebsOnSecurity整理了一份时间表,清晰地展示了事件的来龙去脉。
时间表显示,
今年1 月 5 日,
微软就收到了四个漏洞中两个漏洞的相关报告;
且在 3 月 2 日向报告提交者 —— 安全研究员 Orange Tsai 致谢。在此后的一个月中,陆续有安全公司发现利用漏洞展开的攻击事件,并向微软报告了调查结果。
2 月 18 日,微软确认了漏洞并表示将在 3 月 9 日也就是微软传统的周二补丁日发布补丁。由于漏洞影响范围大,微软将发布时间提前到 3 月 2 日。然而,
3 月 3 日起,大量 Exchange 服务器被入侵且受影响数量不断增加。
很多媒体认为入侵者在利用补丁刚发布但大量企业来不及修复的时机疯狂入侵。MIT Technology Review 报道称,
至少有 5 个黑客团体在利用这些漏洞发起攻击。
3 月 4 日起,
白宫国家安全专家、美国国家安全委
员会纷纷
加入
警告阵营,提醒企业尽快更新。
截至 3 月 8 日,彭博社在报道中预估受影响用户已经接近
6
万
。
3 月 9
日,
欧洲
银行管理局
也确认遭遇 Exchange 漏洞攻击。
在本文撰写过程中,
芬兰国家网络安全中心
发布声明称,
至少有十几家使用微软 Microsoft Exchange 邮箱软件的企业遭到了网络攻击,还有数百家企业、组织处于高危风险之中。
一名专家表示,
这可能是芬兰二十年来影响范围最大、最严重的网络安全事件。
根据国内网友的反馈,漏洞也造成了一定程度的影响。
众所周知,美国一旦发生什么网络攻击或泄露事件,第一时间总爱甩锅。上次的 SolarWinds 事件中,
朝鲜黑客组织被指认为罪魁祸首
,听证会上,
CEO还甩锅实习生
。此次微软漏洞爆发,美国则把矛头对准了中国,
多家外媒报道都提到了中国黑客组织。在 3 月 3日外交部例行记者会上,外交部发言人对此进行了回应:证据最重要。
关于漏洞的实际影响范围和严重程度,微软还没有给出明确回应。但是根据短短一周内不断攀升的受影响用户数字来看,可能这次漏洞的影响比想象中严重。
从 3 月 2 日至今,
微软除了发布补丁,也发布了一系列检查和应对指南。
-
缓解措施(3月6日更新)
:
https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/
-
安全补丁(3月8日更新)
:
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
