关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

Microsoft Exchange多个高危漏洞

发布时间:2021-03-18 16:30:26

更新时间

2021-03-13


漏洞等级 High

CVE编号

CVE-2021-26855 高危

CVE-2021-26857 高危

CVE-2021-26858 高危

CVE-2021-27065 高危

漏洞描述

Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。2021年03月13日,微软官方发布了Microsoft Exchange安全更新,披露了多个高危严重漏洞,其中:

1、在 CVE-2021-26855 Exchange SSRF漏洞中,攻击者可直接构造恶意请求,以Exchange server的身份发起任意HTTP请求,扫描内网,并且可获取Exchange用户信息。该漏洞利用无需身份认证。

2、在 CVE-2021-26857 Unified Messaging service 反序列化漏洞中,攻击者可构造恶意请求,触发反序列化漏洞,从而执行任意代码。成功利用该漏洞需要Exchange administrator权限,或需要配合其他漏洞。

3、在 CVE-2021-26858 / CVE-2021-27065 Exchange 任意文件写入漏洞中,攻击者可结合CVE-2021-26855 SSRF漏洞,或提供正确的administrator凭证,构造恶意请求,在系统上写入任意文件。

影响范围

Microsoft Exchange 2013

Microsoft Exchange 2016

Microsoft Exchange 2019

Microsoft Exchange 2010

修复方案

1、微软官方已针对该批漏洞发布相关安全更新补丁,可按照以下链接进行升级:

CVE-2021-26855 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26857 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26858 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-27065 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

参考链接

1、https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

2、https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/



/template/Home/Zkeys/PC/Static