针对 Microsoft Exchange RCE 漏洞发布的漏洞，请立即修补

概念验证漏洞利用代码已于周末在线发布，用于影响 Microsoft Exchange 服务器的积极利用的高严重性漏洞。

被追踪为CVE-2021-42321的安全漏洞会影响本地 Exchange Server 2016 和 Exchange Server 2019（包括客户在 Exchange 混合模式下使用的那些），并在本月的补丁星期二由微软修补。

成功利用允许经过身份验证的攻击者在易受攻击的 Exchange 服务器上远程执行代码。

周日，也就是 CVE-2021-42321 补丁发布近两周后，研究人员Janggggg发布了 Exchange post-auth RCE 漏洞的概念验证漏洞。

“这个 PoC 只是在目标上弹出 mspaint.exe，可用于识别成功攻击事件的签名模式，”研究人员说。

管理员警告立即修补

微软表示：“我们知道使用其中一个漏洞 (CVE-2021-42321) 进行的有限针对性攻击，这是 Exchange 2016 和 2019 中的一个身份验证后漏洞。”

“我们的建议是立即安装这些更新以保护您的环境，”该公司表示，并敦促 Exchange 管理员修补在野外被利用的错误。

如果您尚未修补本地服务器中的此安全漏洞，则可以使用最新版本的Exchange Server Health Checker 脚本生成环境中所有需要更新的 Exchange 服务器的快速清单。

要检查您的任何易受攻击的 Exchange 服务器是否已被 CVE-2021-42321 攻击尝试攻击，您必须在每个 Exchange 服务器上运行此 PowerShell 查询以检查事件日志中的特定事件：

Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }

受到攻击的本地 Exchange 服务器

自 2021 年初以来，Exchange 管理员已经处理了两波针对 ProxyLogon 和 ProxyShell 安全漏洞的大规模攻击。

从 3 月初开始，受国家支持且出于经济动机的威胁行为者使用 ProxyLogon 漏洞部署 Web 外壳、加密矿工、勒索软件和其他恶意软件。

在这些攻击中，他们的目标是全球数万个组织的超过 100 万个 Microsoft Exchange 服务器中的四分之一。

四个月后，美国及其盟国，包括欧盟、英国和北约，正式将这些广泛的 Microsoft Exchange 黑客攻击归咎于其假想敌。

8 月，安全研究人员复制了一个有效的漏洞利用程序后，威胁行为者还开始通过利用 ProxyShell 漏洞来 扫描和破坏 Exchange 服务器。

尽管使用 ProxyShell 漏洞丢弃的有效载荷一开始是无害的，但攻击者后来转而在使用Windows PetitPotam 漏洞攻击的Windows 域中部署 LockFile 勒索软件有效载荷。

有了这个最新的漏洞 (CVE-2021-42321)，研究人员已经看到攻击者扫描并试图破坏易受攻击的系统。

由于 Microsoft Exchange 已成为威胁参与者初步访问目标网络的热门目标，因此强烈建议使用最新的安全补丁使服务器保持最新状态。 

原文来自: bleepingcomputer.com