CVE-2021-27065
Microsoft Exchange Server
2021-11-03
Microsoft Exchange Server contains an unspecified vulnerability that allows for remote code execution. This vulnerability is part of the ProxyLogon exploit chain.
Технический анализ и план устранения
Суть уязвимости
Уязвимость (CVE-2021-27065) в Microsoft Exchange Server позволяет удаленному атакующему выполнить произвольный код на сервере без аутентификации. Атакующий отправляет специально сформированные HTTP-запросы к уязвимому компоненту Exchange (Client Access Service), что приводит к десериализации недоверенных данных и выполнению кода. Это часть цепочки эксплойтов ProxyLogon.
Как исправить
Установите официальные накопительные обновления (CU) от Microsoft. Уязвимость устранена в следующих версиях: * Exchange Server 2019: Установите накопительное обновление 8 (CU8) или более позднее, а затем обновление безопасности (SU) от марта 2021 года (KB5000871). * Exchange Server 2016: Установите накопительное обновление 19 (CU19) или более позднее, а затем обновление безопасности (SU) от марта 2021 года (KB5000871). * Exchange Server 2013: Установите накопительное обновление 23 (CU23) или более позднее, а затем обновление безопасности (SU) от марта 2021 года (KB5000871).
Конкретные действия для Windows Server:
1. Определите текущую версию Exchange (Get-ExchangeServer | Format-List Name, Edition, AdminDisplayVersion).
2. Скачайте соответствующий CU и SU с каталога обновлений Microsoft.
3. Установите обновления в следующем порядке:
* Сначала установите последний CU для вашей версии.
* Затем установите SU (KB5000871) для устранения CVE-2021-27065.
Временное решение
Если немедленная установка обновлений невозможна, выполните следующие шаги:
-
Ограничьте доступ извне: Настройте брандмауэр (например, Windows Firewall) или сетевой экран, чтобы заблокировать доступ к портам Exchange (443, 80) для всех IP-адресов, кроме доверенных (например, IP-адресов вашей VPN или корпоративной сети).
bash # Пример для Windows Firewall (PowerShell) - блокировка порта 443 для всех, кроме IP 192.168.1.100 New-NetFirewallRule -DisplayName "Block Exchange 443 except trusted" -Direction Inbound -LocalPort 443 -Protocol TCP -Action Block -RemoteAddress Any New-NetFirewallRule -DisplayName "Allow Exchange 443 for trusted IP" -Direction Inbound -LocalPort 443 -Protocol TCP -Action Allow -RemoteAddress 192.168.1.100 -
Настройте WAF (Web Application Firewall): Если используется WAF (например, Azure WAF, Cloudflare, или аппаратный), добавьте правила для блокировки HTTP-запросов, содержащих известные сигнатуры эксплойта ProxyLogon (например, строки
X-AnonResource-Backend,X-BEResourceс определенными шаблонами). -
Отключите службы (крайняя мера): Временно остановите службу Microsoft Exchange Frontend Transport (может нарушить работу почты).
bash # PowerShell (от имени администратора) Stop-Service MSExchangeFrontendTransport Set-Service MSExchangeFrontendTransport -StartupType Manual