Exchange Server的ProxyLogon漏洞引发全球企业安全危机,微软上周更新个人及企业杀毒软件,可自动缓解其中一个已遭黑客开采的漏洞。
Exchange Server的ProxyLogon漏洞其实有4项漏洞,包括CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065,受影响的版本包括2013、2016和2019。微软上周指出已经更新端点安全产品Microsoft Defender Antivirus及System Center Endpoint Protection的特征档,现在两项产品将可自动缓解任何Exchange Server的CVE-2021-26855,包括未更新的Exchange Server。
4个漏洞中,CVE-2021-26855为服务器请求伪造(SSRF)漏洞,允许攻击者发送HTTP调用而验证进入Exchange Server,等于是黑客黑入系统的第一道大门,其他漏洞则让黑客得以在Exchange上执行程序代码、或安装恶意文件,包括可作为后门的web shell。
Exchange Server用户只需确定其设备上微软端点安全产品的特征档(security intelligence update)到build 1.333.747.0之后版本,如果他们关闭自动更新功能的话。
在此之前,微软已经陆续发布完整Exchange Server安全更新、可侦测恶意web shell工具Microsoft Safety Scanner、及可缓解CVE-2021-26855的一键缓解工具EOMT(Exchange On -premise Mitigation Tool)。
不过微软还是强调Exchange安全更新仍是确安全全性的最全面方法。这些临时性的缓解工具,主要是在用户安装Exchanger累计更新之前提供暂时保护。