1.漏洞公告
2021年3月9日,微软官方发布了3月安全更新公告,包含了微软家族多个软件的安全更新补丁,此次发布更新了3月2日微软MSRC官方紧急发布的Exchange Server多个0day漏洞的安全公告(更加详细罗列了受影响版本和缓解措施),和Windows DNS服务器远程执行代码漏洞,漏洞对应CVE编号包括:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065,DNS相关的有CVE-2021-26877、CVE-2021-26893、CVE-2021-26894、CVE-2021-26895、CVE-2021-26897,相关链接参考:
根据公告,此次更新除了详细罗列了受影响的Exchange Server CU(累积更新)版本,针对不便于安装补丁的2013、2016、2019版本,官方还提供了临时缓解措施,另外,Windows DNS服务器存在远程代码执行漏洞,非DNS协议漏洞,因此仅限Windows DNS服务器,在AD域环境中,DNS服务是一个基本网络组件,多数时候直接和域控安装部署在一起,因此,恶意攻击者可能会尝试通过该漏洞获取域管理权限,建议尽快安装安全更新补丁或采取临时缓解措施加固系统。
2.影响范围
Windows DNS远程代码执行漏洞(CVE-2021-26877、CVE-2021-26893、CVE-2021-26894、CVE-2021-26895、CVE-2021-26897)影响和微软已经提供补丁的的系统列表(主要是Server系统),相关参考:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server, version 2004 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows Server, version 20H2 (Server Core Installation)
Exchange Server远程代码执行漏洞(CVE-2021-26855)影响和微软已经提供补丁的的系统列表,相关参考:
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 14
Microsoft Exchange Server 2016 Cumulative Update 15
Microsoft Exchange Server 2016 Cumulative Update 16
Microsoft Exchange Server 2016 Cumulative Update 18
Microsoft Exchange Server 2016 Cumulative Update 19
Microsoft Exchange Server 2019 Cumulative Update 4
Microsoft Exchange Server 2019 Cumulative Update 5
Microsoft Exchange Server 2019 Cumulative Update 6
Microsoft Exchange Server 2019 Cumulative Update 7
Microsoft Exchange Server 2019 Cumulative Update 8
Exchange Server远程代码执行漏洞(CVE-2021-26857)影响和微软已经提供补丁的的系统列表,相关参考:
Microsoft Exchange Server 2010 Service Pack 3
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 14
Microsoft Exchange Server 2016 Cumulative Update 15
Microsoft Exchange Server 2016 Cumulative Update 16
Microsoft Exchange Server 2016 Cumulative Update 18
Microsoft Exchange Server 2016 Cumulative Update 19
Microsoft Exchange Server 2019 Cumulative Update 4
Microsoft Exchange Server 2019 Cumulative Update 5
Microsoft Exchange Server 2019 Cumulative Update 6
Microsoft Exchange Server 2019 Cumulative Update 7
Microsoft Exchange Server 2019 Cumulative Update 8
Exchange Server远程代码执行漏洞(CVE-2021-26858)影响和微软已经提供补丁的的系统列表,相关参考:
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 14
Microsoft Exchange Server 2016 Cumulative Update 15
Microsoft Exchange Server 2016 Cumulative Update 16
Microsoft Exchange Server 2016 Cumulative Update 18
Microsoft Exchange Server 2016 Cumulative Update 19
Microsoft Exchange Server 2019 Cumulative Update 4
Microsoft Exchange Server 2019 Cumulative Update 5
Microsoft Exchange Server 2019 Cumulative Update 6
Microsoft Exchange Server 2019 Cumulative Update 7
Microsoft Exchange Server 2019 Cumulative Update 8
Exchange Server远程代码执行漏洞(CVE-2021-27065)影响和微软已经提供补丁的的系统列表,相关参考:
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 14
Microsoft Exchange Server 2016 Cumulative Update 15
Microsoft Exchange Server 2016 Cumulative Update 16
Microsoft Exchange Server 2016 Cumulative Update 18
Microsoft Exchange Server 2016 Cumulative Update 19
Microsoft Exchange Server 2019 Cumulative Update 4
Microsoft Exchange Server 2019 Cumulative Update 5
Microsoft Exchange Server 2019 Cumulative Update 6
Microsoft Exchange Server 2019 Cumulative Update 7
Microsoft Exchange Server 2019 Cumulative Update 8
对全球和国内部署的Exchange Server进行统计,最新查询分布情况如下:
![]()
国内分布:
![]()
3.漏洞描述
根据分析,CVE-2021-26855,主要为SSRF(服务器端请求伪造)漏洞,恶意攻击者可以通过该漏洞进行身份验证绕过,漏洞可以通过Nmap远程探测/owa/auth/路径下文件识别;
CVE-2021-26857,主要为不安全的反序列化漏洞,恶意攻击者通过此漏洞可以在Exchange server上以SYSTEM权限运行代码,前提条件需要管理员权限或配合其他漏洞执行;
CVE-2021-26858、CVE-2021-27065,主要为任意文件写入漏洞,恶意攻击者可通过CVE-2021-26855 SSRF漏洞破坏管理员凭据来进行身份认证,认证通过后,攻击者可通过此漏洞将恶意文件写入服务器(即Webshell),并进一步实施横向移动攻击。
CVE-2021-26877、CVE-2021-26893、CVE-2021-26894、CVE-2021-26895、CVE-2021-26897,主要为Windows DNS服务器远程执行代码漏洞和拒绝服务漏洞,恶意攻击者可以通过该漏洞对未打补丁的目标系统进行攻击,实现远程代码执行或拒绝服务效果,由于DNS服务器在WindowsAD域环境的重要性,漏洞威胁风险较大,建议尽快安装安全更新补丁或采取临时缓解措施加固系统。
3月安全公告列表,包含的其他漏洞(非全部)快速阅读指引:
CVE-2021-1640|Windows 打印后台处理程序特权提升漏洞
CVE-2021-24089|HEVC Video 扩展程序远程执行代码漏洞
CVE-2021-24104|Microsoft SharePoint 欺骗漏洞
CVE-2021-24107|Windows 事件追踪信息泄露漏洞
CVE-2021-24108|Microsoft Office 远程执行代码漏洞
CVE-2021-24110|HEVC Video 扩展程序远程执行代码漏洞
CVE-2021-26411|Internet Explorer 内存损坏漏洞
CVE-2021-26859|Microsoft Power BI 信息泄漏漏洞
CVE-2021-26867|Windows Hyper-V 远程执行代码漏洞
CVE-2021-26869|Windows ActiveX 安装程序服务信息泄露漏洞
CVE-2021-26884|Windows Media 照片编解码器信息泄漏漏洞
CVE-2021-26887|Microsoft Windows 文件夹重定向特权提升漏洞
CVE-2021-26896|Windows DNS 服务器拒绝服务漏洞
CVE-2021-26902|HEVC Video 扩展程序远程执行代码漏洞
CVE-2021-27047|HEVC Video 扩展程序远程执行代码漏洞
CVE-2021-27048|HEVC Video 扩展程序远程执行代码漏洞
CVE-2021-27049|HEVC Video 扩展程序远程执行代码漏洞
CVE-2021-27050|HEVC Video 扩展程序远程执行代码漏洞
CVE-2021-27051|HEVC Video 扩展程序远程执行代码漏洞
CVE-2021-27052|Microsoft SharePoint Server 信息泄露漏洞
CVE-2021-27054|Microsoft Excel 远程执行代码漏洞
CVE-2021-27055|Microsoft Visio 安全功能绕过漏洞
CVE-2021-27056|Microsoft PowerPoint 远程代码执行漏洞
CVE-2021-27057|Microsoft Office 远程执行代码漏洞
CVE-2021-27058|Microsoft Office ClickToRun 远程执行代码漏洞
CVE-2021-27059|Microsoft Office 远程执行代码漏洞
CVE-2021-27063|Windows DNS 服务器拒绝服务漏洞
CVE-2021-27074|Azure Sphere 未签名代码执行漏洞
CVE-2021-27075|Windows 虚拟机信息泄露漏洞
CVE-2021-27076|Microsoft SharePoint Server 远程执行代码漏洞
CVE-2021-27080|Azure Sphere 未签名代码执行漏洞
CVE-2021-27082|Visual Studio Code 之 Quantum 开发工具包的远程执行代码漏洞
4.缓解措施
高危:目前Exchange Server漏洞细节已经部分公开,恶意攻击者也可以通过补丁对比方式分析出漏洞触发点,并进一步开发漏洞利用代码,建议及时测试安全更新补丁并应用安装和完善威胁识别、漏洞缓解措施。
漏洞缓解措施(加固):
通过IIS Re-Write(使用IIS的Rewrite Module)规则过滤https恶意请求;
临时禁用Unified Messaging (UM);
临时禁用Exchange Control Panel (ECP) VDir;
临时禁用Offline Address Book (OAB) VDir;
微软提供了PowerShell检测和加固脚本、Nmap扫描脚本等,下载地址:
相关参考:
威胁识别(日志分析和排查):
Exchange server日志文件路径主要再以下目录:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging
CVE-2021-26855漏洞利用会在HttpProxy日志中留下痕迹,文件夹路径:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
CVE-2021-26858漏洞利用会在OAB日志中留下痕迹,文件路径:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log
CVE-2021-26857漏洞利用会在系统应用日志中留下痕迹,关注System.InvalidCastException消息:
Source: MSExchange Unified Messaging
EntryType: Error
Event Message Contains: System.InvalidCastException
CVE-2021-27065漏洞利用会在ECP日志中留下痕迹,文件路径:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log
部署有Exchange server的用户可以通过排查日志,分析是否已经受到攻击。
