CVE-2021-26858

Суть уязвимости

Уязвимость (CVE-2021-26858) — это уязвимость десериализации в службе Unified Messaging сервера Microsoft Exchange. Она позволяет аутентифицированному злоумышленнику выполнить произвольный код на сервере от имени системной учетной записи SYSTEM. В сочетании с другими уязвимостями цепочки ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-27065) она может быть использована для полного компрометации сервера Exchange без знания учетных данных.

Как исправить

Необходимо срочно установить накопительные обновления (CU) и обновления безопасности для Exchange Server. Конкретные версии зависят от вашей текущей версии Exchange.

1. Определите текущую версию Exchange Server. Выполните в PowerShell от имени администратора: powershell Get-Command ExSetup.exe | ForEach-Object { $_.FileVersionInfo } Или проверьте версию в панели управления "Программы и компоненты".

2. Установите соответствующее обновление. Скачайте и установите накопительное обновление (CU), а затем обновление безопасности (SU) для вашей версии. Для наиболее уязвимых версий требуются следующие патчи:

   • Exchange Server 2013 CU23: Установите обновление безопасности KB5000871.
   • Exchange Server 2016 CU19 и CU20: Установите обновление безопасности KB5000871.
   • Exchange Server 2019 CU8 и CU9: Установите обновление безопасности KB5000871.

   Важно: Если ваша версия старше указанных CU, сначала необходимо обновиться до последнего поддерживаемого CU, а затем применить SU. Актуальные ссылки всегда ищите в официальном бюллетене Microsoft: MSRC: ProxyLogon Exchange Server Vulnerabilities.

3. Проверьте установку. После перезагрузки убедитесь, что обновление применилось: powershell Get-ExchangeServer | Format-List Name, Edition, AdminDisplayVersion

Временное решение

Если немедленная установка патча невозможна, примените следующие меры для снижения риска:

1. Ограничьте доступ к серверу Exchange с помощью брандмауэра:

   • Разрешите входящие подключения к портам 443 (HTTPS) и 25 (SMTP) только из доверенных сетей (например, офиса, VPN).
   • Блокируйте весь входящий трафик из интернета к портам 5985 (WinRM HTTP) и 5986 (WinRM HTTPS).

2. Отключите службу Unified Messaging (UM), если она не используется. Это напрямую отключает уязвимый компонент. Выполните в PowerShell от имени администратора: powershell Stop-Service MSExchangeUM Set-Service MSExchangeUM -StartupType Disabled Внимание: Это нарушит работу телефонии и голосовой почты, интегрированных с Exchange.

3. Разверните правила блокировки в веб-приложении (IIS) или WAF. Добавьте правило для блокировки запросов, содержащих в URL или заголовках известные сигнатуры эксплойтов ProxyLogon (например, X-AnonResource-Backend, X-BEResource). Пример URL Rewrite rule в web.config: xml <rule name="Block ProxyLogon Patterns" stopProcessing="true"> <match url=".*" /> <conditions> <add input="{REQUEST_URI}" pattern=".*autodiscover\.json.*Powershell.*" /> <add input="{HTTP_X_ANONRESOURCE_BACKEND}" pattern=".*" /> <add input="{HTTP_X_BERESOURCE}" pattern=".*" /> </conditions> <action type="CustomResponse" statusCode="403" statusReason="Forbidden" /> </rule>

4. Выполните скрипт проверки здоровья Exchange (EOMT). Загрузите и запустите официальный скрипт Microsoft Exchange On-Premises Mitigation Tool, который автоматически применяет временные блокировки для известных векторов атаки. powershell .\EOMT.ps1 -RunFullScan

Все временные меры являются экстренными. Установка официального патча — обязательное и первоочередное действие.