风险通告
近日,奇安信CERT监测到CVE-2021-42321 Microsoft Exchange Server 远程代码执行漏洞利用细节及PoC在网络上公开。经过身份验证的远程攻击者,可利用此漏洞在目标服务器上执行任意代码。由于此漏洞的细节及PoC已公开,漏洞利用的现实威胁进一步上升。目前Microsoft官方已发布安全更新补丁,建议客户尽快自查修复。
本次更新内容:
新增复现截图,新增产品线解决方案
当前漏洞状态
细节是否公开 | PoC状态 | EXP状态 | 在野利用 |
是 | 已公开 | 未知 | 未知 |
Microsoft Exchange Server是微软公司的一套电子邮件服务组件。除传统的电子邮件的存取、储存、转发功能外,在新版本的产品中亦加入了一系列辅助功能,如语音邮件、邮件过滤筛选和OWA(基于Web的电子邮件存取)。Exchange Server支持多种电子邮件网络协议,如SMTP、NNTP、POP3和IMAP4。Exchange Server能够与微软公司的活动目录完美结合。
近日,奇安信CERT监测到CVE-2021-42321 Microsoft Exchange Server 远程代码执行漏洞利用细节及PoC在网络上公开,经过身份验证的远程攻击者,可利用此漏洞在目标服务器上执行任意代码。值得注意的是,黑客利用此漏洞在 2021 年天府杯上成功攻破Exchange服务器。
CVE-2021-42321 Microsoft Exchange Server 远程代码执行漏洞
漏洞名称 | Microsoft Exchange Server 远程代码执行漏洞 | ||||
漏洞类型 | 远程代码执行 | 风险等级 | 紧急 | 漏洞ID | CVE-2021-42321 |
公开状态 | 已公开 | 在野利用 | 未知 | ||
漏洞描述 | 经过身份验证的远程攻击者,可利用此漏洞在目标服务器上执行任意代码。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321 |
奇安信CERT已成功复现CVE-2021-42321 Microsoft Exchange Server 远程代码执行漏洞,复现截图如下:
Microsoft Exchange Server 2019 Cumulative Update 11
Microsoft Exchange Server 2019 Cumulative Update 10
Microsoft Exchange Server 2016 Cumulative Update 22
Microsoft Exchange Server 2016 Cumulative Update 21
目前官方已有可更新补丁,请尽快安装补丁以避免受此漏洞影响:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321
奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2111242000” 及以上版本并启用规则ID: 4347501进行检测。
奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.1124.13121上版本。规则名称:Microsoft Exchange Server 远程代码执行漏洞(CVE-2021-42321),规则ID:0x10020E18。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
奇安信网神网站应用安全云防护系统已全面支持对Microsoft Exchange Server 远程代码执行漏洞(CVE-2021-42321)的防护。
奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:7066 ,建议用户尽快升级检测规则库至2111242000 以后版本并启用该检测规则。
2021年11月22日,奇安信 CERT发布安全风险通告
2021年11月25日,奇安信 CERT发布安全风险通告第二次更新