CVE-2021-26857

Суть уязвимости

Уязвимость (CVE-2021-26857) — это уязвимость десериализации в службе Unified Messaging сервера Microsoft Exchange. Она позволяет аутентифицированному злоумышленнику выполнить произвольный код на сервере, отправив специально сформированный запрос на порт 443. В сочетании с другими уязвимостями (CVE-2021-26855, CVE-2021-26858, CVE-2021-27065) она образует цепочку эксплойтов ProxyLogon, которая позволяет выполнить код без предварительной аутентификации.

Как исправить

Установите накопительные обновления (CU) и обновления безопасности для вашей версии Exchange Server. Патчи включены в следующие обновления:

• Exchange Server 2010 (требуется Service Pack 3): Установите обновление KB5000871.
• Exchange Server 2013 (CU23): Установите обновление KB5000871.
• Exchange Server 2016 (CU19 и CU20): Установите обновление KB5000871.
• Exchange Server 2019 (CU8 и CU9): Установите обновление KB5000871.

Порядок действий: 1. Определите точную версию Exchange Server (например, с помощью PowerShell): powershell Get-Command ExSetup.exe | ForEach-Object {$_.FileVersionInfo} 2. Скачайте соответствующее обновление с каталога обновлений безопасности Microsoft. 3. Установите обновление на каждом сервере Exchange в организации. Перед установкой создайте резервную копию.

Временное решение

Если немедленная установка патча невозможна, примените следующие меры для блокировки атак, использующих эту уязвимость:

1. Ограничьте доступ к порту 443 (HTTPS) сервера Exchange только для доверенных IP-адресов (например, из внутренней сети или VPN) с помощью брандмауэра (Windows Firewall или сетевого). bash # Пример правила для Windows Firewall (PowerShell) - разрешить только диапазон 10.0.0.0/24 New-NetFirewallRule -DisplayName "Allow Exchange HTTPS Internal" -Direction Inbound -LocalPort 443 -Protocol TCP -RemoteAddress 10.0.0.0/24 -Action Allow Затем создайте правило, блокирующее все остальные адреса.

2. Настройте правила на WAF/обратном прокси (например, Microsoft URL Rewrite Module для IIS) для блокировки запросов, содержащих известные сигнатуры атаки ProxyLogon. Пример правила для блокировки запросов к известным уязвимым путям: <rule name="Block ProxyLogon Patterns" stopProcessing="true"> <match url=".*" /> <conditions> <add input="{REQUEST_URI}" pattern=".*/ecp/.*\.(js|config|xml)$" /> </conditions> <action type="AbortRequest" /> </rule>

3. Отключите службу Unified Messaging (UM) на сервере, если она не используется. Это напрямую устранит уязвимый компонент. powershell Stop-Service MSExchangeUM Set-Service MSExchangeUM -StartupType Disabled Внимание: Это повлияет на функциональность голосовой почты и уведомлений.

Важно: Временные меры лишь снижают риск. Установка официального обновления — обязательное и окончательное решение.