Microsoft Exchange 服务器安全更新

介绍

在本文中，我们提供了有关针对 Microsoft Exchange Server 的恶意软件所构成的持续威胁的最新信息 CVE-2021-26855. 我们还提供更新和保护您的 Microsoft Exchange Server 所需的步骤。 在一个 最近贴文，网络安全和基础设施安全局发布了关于最近的 Microsoft Exchange Server 漏洞的优先安全公告。 他们说：

“CISA 合作伙伴观察到 Microsoft Exchange 内部部署产品中的漏洞被积极利用。 目前已知这些漏洞和已识别的漏洞利用活动均不会影响 Microsoft 365 或 Azure Cloud 部署。 成功利用这些漏洞允许攻击者访问本地 Exchange 服务器，从而使他们能够获得对企业网络的持久系统访问和控制。

CISA 已确定，这种对 Microsoft Exchange 本地产品的利用对联邦文职行政部门机构构成了不可接受的风险，需要采取紧急行动。 该决定基于这些漏洞的当前利用情况、漏洞被利用的可能性、受影响软件在联邦企业中的流行程度、机构信息系统被入侵的可能性以及一个成功的妥协。 CISA 发布了 ED 21-02，要求运行 Microsoft Exchange 本地产品的联邦文职部门和机构更新产品或断开产品与其网络的连接，直到使用 Microsoft 补丁进行更新。

目前，与此已知利用活动相关的漏洞包括 CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065。 根据微软和安全研究人员的说法，以下漏洞是相关的，但尚未被利用：CVE-2021-26412、CVE-2021-26854、CVE-2021-27078。”

https://www.cisa.gov/ed2102

Microsoft 提供了一种新的“一键式”缓解工具，称为 Microsoft Exchange 本地缓解工具. 它可以帮助无法访问专门的 IT 安全专家团队的客户应用所需的安全更新。 他们已经针对以下部署测试了该工具：

• 微软 Exchange 服务器 2013
• 微软 Exchange 服务器 2016
• 微软 Exchange 服务器 2019

此工具是为不熟悉 Microsoft 补丁/更新过程的客户或尚未应用任何最新的本地 Microsoft Exchange Server 安全更新的客户设计的权宜之计。

运行后，应用程序最初将提供针对当前已知漏洞的缓解措施（CVE-2021-26855) 使用 URL 重写配置。 接下来，它将使用 Microsoft 安全扫描程序 然后撤销已识别威胁所做的任何修改。

通过下载并运行此工具（包括最新的 Microsoft 安全扫描程序），客户端会在部署了 CVE-2021-26855 的任何 Exchange 服务器上自动缓解 CVE-2021-26855。 此工具不能替代 Exchange 安全更新。 尽管如此，它仍然是减轻连接到 Internet 的预先打补丁的本地 Exchange 服务器所带来的风险的最简单、最快捷的方法。

先决条件

这些是运行 Exchange 本地缓解工具所需的要求

• 来自 Exchange 服务器的外部 Internet 连接（需要下载 Microsoft 安全扫描程序和 IIS URL 重写模块）。
• PowerShell 脚本必须以管理员身份运行。

系统要求

• PowerShell 3 或更高版本
• IIS 7.5 及更高版本
• Exchange 2013、2016 或 2019
• Windows Server 2008 R2、Server 2012、Server 2012 R2、Server 2016、Server 2019

建议

CISA 建议所有易受攻击的 Exchange 所有者采取以下步骤。

步骤 1. 下载并安装检测脚本

下载 扫描工具 并打开它。

第2步。

选择要运行的扫描类型并开始扫描。

第 3 步。

查看屏幕上显示的扫描结果。 有关详细的检测结果，客户端可以查看位于 %SYSTEMROOT%debugmsert.log 的日志文件。

第四步。

实施扫描后，请遵循建议的准则 此处注明.

第 5 步。

取下工具。 要完成该任务，请删除 msert.exe 可执行文件。

如果妥协

如果您遭到入侵，Microsoft 建议您遵循以下建议 本指南 以便更好地了解下一步要做什么。

结论

使用受影响版本的客户应使用补丁更新他们的系统 立即地. 有关脚本的其他信息， 微软博客 提供更详细的信息。 有关此漏洞的更多信息，用户可以访问以下链接。

• 微软咨询： 为 Exchange Server 发布多个安全更新
• 微软博客： HAFNIUM 针对具有 0 天漏洞的 Exchange 服务器
• 微软 GitHub 存储库： CSS交换
• CISA警报： 缓解 Microsoft Exchange Server 漏洞
• CISA 紧急指令 21-02： 缓解 Microsoft Exchange 本地产品漏洞
• CISA 缓解步骤 PDF

注意：此漏洞与最近的 SolarWinds 攻击无关。

我们以成为 Hosting™ 中最有帮助的人而自豪！

我们的支持团队由经验丰富的 Linux 技术人员和才华横溢的系统管理员组成，他们对多种网络托管技术（尤其是本文中讨论的技术）了如指掌。

如果您对此信息有任何疑问，请通过支持票、聊天或致电 800.580.495 与我们联系。 我们一年 365 天，每周 7 天，每天 24 小时，随时可以回答有关本文的任何查询。

如果您是完全托管的 VPS 服务器， Cloud 专用，VMWare 私有 Cloud, 私有父服务器, 托管 Cloud 服务器或专用服务器所有者，如果您对执行列出的任何步骤感到不舒服，可以通过电话联系我们 @800.580.4985，a 聊天 或支持票来回答您可能遇到的任何问题。