美国主管资安事务的网路安全暨基础设施安全局(Cybersecurity & Infrastructure Security Agency, CISA),日前针对 Microsoft Exchange 近期修补完成的四个严重 0-day 漏洞发布紧急修补命令。
CISA 发布编号为 Emergency Directive 21-02 的紧急命令,要求联邦政府所属单位,立即针对在其组织内运作的 Microsoft Exchange 系统进行资安修补。先前 CISA 也曾针对这四个漏洞发布资安通报,表示这些 0-day 漏洞已遭骇侵者大规模滥用。
在 CISA 发布的通报中指出,一共有四个 0-day 漏洞已获得 Microsoft 修补完成并发表修补程式,分别是:
- CVE-2021-26855:存于 Exchange Control Panel,骇侵者可透过特制的伺服器端连线要求,取得电子邮件与机密档案的内容。
- CVE-2021-26857、CVE-2021-26858、CVE-2021-27065:这三个 0-day 漏洞皆可让骇侵者远端执行任意程式码。
这些漏洞是由第三方资安厂商 Volexity 发现的。 Volexity 除了详细提出骇侵者可能采用的攻击手法外,也观察到骇侵者已透过某些 IP 发动攻击。
CISA 的命令要求美国联邦政府各单位,如有能力,应针对单位内部使用的Exchange Server 进行彻底检查,并依命令中的指示安装更新软体;如果单位没有能力自行检查并更新系统,应立即将所有Microsoft Exchange Server 自外部网路离线,并依指示向CISA 提出报告。
- CVE编号:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065
- 影响产品/版本:Microsoft Exchange Server 2010, 2013, 2016, 2019
解决方案:
依 CISA Emergercy Directive 21-02 指示彻底检查系统。
安装微软提供的各版本 Exchange Server 更新软体(官方建议)。
