漏洞综述
■ 漏洞背景
Microsoft Exchange Server是微软公司的一套电子邮件服务组件,是个消息与协作系统。Exchange server可以被用来构架应用于企业、学校的邮件系统或免费邮件系统。它还是一个协作平台。你可以在此基础上开发工作流,知识管理系统,Web系统或者是其他消息系统。
近日,新华三攻防实验室监测到有安全研究员公开了Microsoft Exchange多个漏洞组合利用的攻击链(proxyshell)的细节及POC,其中包括CVE-2021-34473、CVE-2021-34523、CVE-2021-31207。通过相关漏洞组合利用,未经身份验证的攻击者可远程触发漏洞,成功利用这些漏洞可在目标机器上执行任意代码最终接管服务器。
鉴于Microsoft Exchange多个漏洞(Proxyshell)的EXP利用脚本已公开,此漏洞威胁进一步提高,微软官方7月份已发布修复补丁,新华三攻防实验室建议Exchange用户尽快采取措施修复相关漏洞。
■ 漏洞详情
Microsoft Exchange存在多个漏洞,攻击者在未经身份验证的情况下组合利用这些漏洞(Proxyshell)在目标服务器上执行任意代码,这些漏洞包括:
1、 CVE-2021-34473 Microsoft Exchange ACL绕过漏洞
Microsoft Exchange存在ACL绕过漏洞,攻击者可利用此漏洞绕过相关的权限认证,获取后端服务的访问权限,配合攻击链中其他漏洞其可进一步实现任意代码执行。
2、 CVE-2021-34523 Microsoft Exchange 权限提升漏洞
Microsoft Exchange存在权限提升漏洞,成功利用此漏洞的远程攻击者可获得在目标系统上执行Exchange Powershell的权限。
3、 CVE-2021-31207 Microsoft Exchange 任意文件写入漏洞
Microsoft Exchange存在任意文件写入漏洞,经过身份验证的攻击者可利用此漏洞将文件写在Exchange服务器上WEB目录下写入Webshell文件,从而实现远程代码执行。
■ 漏洞复现
新华三攻防实验室已验证公开的Microsoft Exchange Proxyshell远程代码执行漏洞的EXP利用脚本,验证截图如下:
■ 漏洞评级
CVE-2021-34473严重
CVE-2021-34523严重
CVE-2021-31207高危
■ 影响范围
Microsoft Exchange Server 2013 CU23
Microsoft Exchange Server 2016 CU19
Microsoft Exchange Server 2016 CU20
Microsoft Exchange Server 2019 CU8
Microsoft Exchange Server 2019 CU9
处置方法
■ 官方补丁
目前官方已经发布对应漏洞修复补丁,下载地址链接:
CVE-2021-34473:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473
CVE-2021-34523:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523
CVE-2021-31207:
■ 新华三解决方案
1、新华三安全设备防护方案
新华三IPS规则库1.0.144版本将支持对Microsoft Exchange Proxyshell攻击链的利用识别,新华三全系安全产品可通过升级IPS特征库识别该攻击链的攻击流量。
2、新华三态势感知解决方案
新华三态势感知已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。