CVE-2020-17144

Microsoft Exchange Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Exchange Server improperly validates cmdlet arguments which allow an attacker to perform remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2020-17144) в Microsoft Exchange Server позволяет удаленному аутентифицированному злоумышленнику выполнить произвольный код на сервере. Это возможно из-за недостаточной проверки аргументов командлетов (cmdlet) в PowerShell. Атакующий, имеющий учетные данные для входа (например, скомпрометированную учетную запись пользователя почты), может отправить специально созданный запрос к уязвимому серверу Exchange и получить контроль над системой.

Как исправить

Установите официальный патч от Microsoft. Требуемая версия обновления зависит от используемой версии Exchange Server.

  • Для Exchange Server 2016 CU19: Установите накопительное обновление (Cumulative Update) CU19 и затем патч безопасности KB4593466.
  • Для Exchange Server 2019 CU8: Установите накопительное обновление (Cumulative Update) CU8 и затем патч безопасности KB4593465.

Порядок действий: 1. Убедитесь, что установлена требуемая версия накопительного обновления (CU). 2. Скачайте соответствующий патч (KB) с официального каталога обновлений Microsoft. 3. Установите патч на всех серверах Exchange в организации. 4. После установки перезагрузите сервер.

Временное решение

Если немедленная установка патча невозможна, примите следующие меры для снижения риска:

  1. Ограничьте доступ к серверам Exchange:

    • Настройте брандмауэр или группы безопасности сети (NSG) так, чтобы доступ к портам Exchange (например, 443 для HTTPS) был разрешен только с доверенных IP-адресов (офисные сети, VPN).
    • Блокируйте доступ из интернета ко всем портам, кроме необходимых для легитимных клиентов (OWA, Outlook, ActiveSync).

  2. Усильте мониторинг:

    • Включите детальное аудирование PowerShell на серверах Exchange. Ищите подозрительные события в журналах (Event ID 4104 в журнале Microsoft-Windows-PowerShell/Operational).
    • Настройте SIEM-систему на алерты по аномальной активности, связанной с выполнением командлетов Exchange.

  3. Проверьте учетные записи:

    • Активируйте и проверьте журналы аудита входа в систему на серверах Exchange (Event ID 4624, 4625). Ищите неудачные попытки входа или входы с необычных мест.
    • Убедитесь, что для всех учетных записей пользователей почты включена многофакторная аутентификация (MFA), особенно для привилегированных.

Важно: Эти меры лишь снижают поверхность атаки и помогают обнаружить инцидент, но не устраняют саму уязвимость. Установка патча обязательна.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей