几十万台 Exchange 服务器已被入侵，修复补丁来了！

请访问原文链接：sysin.org/blog/exchan…，查看最新版。原创作品，转载请保留出处。

微软 Exchange 邮件服务器软件爆出多个 0 日漏洞

微软 Exchange 服务器的独立安装存在一系列缺陷，这导致了一场规模庞大的网络安全事件，有几十万台 Exchange 服务器的安装被黑客组织 Hafnium 入侵。Krebs on Security 报道称，大量的小企业、城镇、城市和地方政府已经被感染，黑客在盗取了数据之余还留下了一个 Web Shell，以便进一步指挥和控制。

受影响的版本

受影响的 Microsoft Exchange Server 版本（Exchange Online 不受影响）：

• Microsoft Exchange Server 2013
• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019

漏洞细节

CVE-2021-26855 是Exchange中的服务器端请求伪造（SSRF）漏洞，允许攻击者发送任意HTTP请求并作为Exchange服务器进行身份验证。

CVE-2021-26857 是统一消息服务中不安全的反序列化漏洞。不安全反序列化是指程序反序列化不受信任的用户可控数据。利用此漏洞，铪能够在Exchange服务器上以系统身份运行代码。这需要管理员权限或其他漏洞进行攻击。

CVE-2021-26858 是Exchange中的一个身份验证后任意文件写入漏洞。如果铪可以通过Exchange服务器进行身份验证，则他们可以利用此漏洞将文件写入服务器上的任何路径。他们可以通过利用CVE-2021-26855 SSRF漏洞或通过损害合法管理员的凭据进行身份验证。

CVE-2021-27065 是Exchange中的一个身份验证后任意文件写入漏洞。如果铪可以通过Exchange服务器进行身份验证，则他们可以利用此漏洞将文件写入服务器上的任何路径。他们可以通过利用CVE-2021-26855 SSRF漏洞或通过损害合法管理员的凭据进行身份验证。

详细信息

参看以下页面了解细节（英文）：

Microsoft Exchange Server Vulnerabilities Mitigations (March 5, 2021)

Microsoft Security Blog: Hafnium Targeting Exchange (March 2, 2021)

Microsoft on the Issues

Exchange Team Blog

检测工具

微软在其 Microsoft Exchange支持工程师的 GitHub 仓库上发布了一个名为 Test-ProxyLogon.ps1 的 PowerShell 脚本，用于检查 Microsoft Exchange 服务器是否因为最近披露的 ProxyLogon 漏洞被入侵。

补丁下载

需要尽快更新到以下补丁以修复漏洞

• Exchange Server 2013 (update requires CU 23)

• Exchange Server 2016 (update requires CU 19 or CU 18)

• Exchange Server 2019 (update requires CU 8 or CU 7)

下载地址：

• Download Security Update For Exchange Server 2019 Cumulative Update 8 (KB5000871)

• Download Security Update For Exchange Server 2019 Cumulative Update 7 (KB5000871)

• Download Security Update For Exchange Server 2016 Cumulative Update 19 (KB5000871)

• Download Security Update For Exchange Server 2016 Cumulative Update 18 (KB5000871)

• Download Security Update For Exchange Server 2013 Cumulative Update 23 (KB5000871)

前提是您已经更新 Cumulative Update

• Exchange Server 2019 Cumulative Update (二选一，KB5000871 版本对应)

  • Exchange Server 2019 Cumulative Update 8 (KB4588885), VLSC Download
  • Exchange Server 2019 Cumulative Update 7 (KB4571787), VLSC Download

• Exchange Server 2016 Cumulative Update (二选一，KB5000871 版本对应)

  • Exchange Server 2016 Cumulative Update 19 (KB4588884), Download, UM Lang Packs
  • Exchange Server 2016 Cumulative Update 18 (KB4571788), Download, UM Lang Packs

• Cumulative Update 23 for Exchange Server 2013

  • Cumulative Update 23 for Exchange Server 2013 (KB4489622).
  • Exchange Server 2013 CU23 UM Language Packs.

本地下载

如果链接有误请访问 sysin.org/blog/exchan… 查看更新或者提交反馈。

• 包括 Exchange Server 2013/2016/2019 补丁 KB5000871 的简体中文和英文版，和对应的 Cumulative Update 补丁。

百度网盘链接: pan.baidu.com/s/1HDMbFYR1… 密码: ikff

• 如果您无法补丁成功，除了尝试临时解决方案，也可以部署额外的 Exchange 服务器，并且更新上述补丁，可以快速迁移并移除已经受到威胁的服务器。

  以下提供 Exchange Server 2013/2016/2019 原版 iso 镜像下载：

  • Exchange Server 2019 链接: pan.baidu.com/s/1WihOHX3d… 密码: 2e2f

  • Exchange Server 2016 链接: pan.baidu.com/s/1AGHqQ3Bh… 密码: clkv

  • Exchange Server 2013 链接: pan.baidu.com/s/1vuE1DjgF… 密码: najm