CVE-2021-26855

Microsoft Exchange Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Exchange Server contains an unspecified vulnerability that allows for remote code execution. This vulnerability is part of the ProxyLogon exploit chain.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (SSRF) в компоненте Exchange, позволяющая неаутентифицированному злоумышленнику отправить произвольный HTTP-запрос от имени сервера Exchange и получить доступ к учетным данным администратора. Это первый шаг в цепочке эксплойта ProxyLogon для удаленного выполнения кода (RCE).

Как исправить

Установите на все серверы Exchange последние накопительные обновления (Cumulative Update, CU) и обновления безопасности (Security Update, SU).

  1. Определите текущую версию Exchange. Выполните в PowerShell от имени администратора: powershell Get-Command ExSetup.exe | ForEach-Object {$_.FileVersionInfo}

  2. Установите соответствующее обновление. Для каждой основной версии требуется конкретный патч:

    • Exchange Server 2013 CU23 → Установите обновление безопасности KB5000871.
    • Exchange Server 2016 CU19 и CU20 → Установите обновление безопасности KB5000871.
    • Exchange Server 2019 CU8 и CU9 → Установите обновление безопасности KB5000871.

    Важно: Перед установкой обновлений безопасности убедитесь, что у вас установлен последний накопительный пакет обновлений (CU) для вашей версии. Скачайте установщики с официального каталога Microsoft Update.

Временное решение

Если немедленная установка патча невозможна, заблокируйте доступ к уязвимым конечным точкам через обратный прокси-сервер (например, IIS URL Rewrite Module) или брандмауэр веб-приложений (WAF).

  1. Установите и настройте модуль URL Rewrite для IIS на сервере Exchange.
  2. Добавьте правило, блокирующее запросы к уязвимому пути. В файле web.config в папке %ExchangeInstallPath%\FrontEnd\HttpProxy внутри раздела <system.webServer> добавьте: xml <rewrite> <rules> <rule name="Block ProxyLogon" stopProcessing="true"> <match url=".*" /> <conditions> <add input="{REQUEST_URI}" pattern="^/ecp/[A-Z0-9]{6,}\.js$" /> </conditions> <action type="AbortRequest" /> </rule> </rules> </rewrite>
  3. Перезапустите IIS: bash iisreset /noforce
  4. Ограничьте доступ к портам 443 (HTTPS) и 80 (HTTP) Exchange только для доверенных IP-адресов на сетевом брандмауэре.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей