CVE-2021-31207

Microsoft Exchange Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Exchange Server contains an unspecified vulnerability that allows for security feature bypass.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (Security Feature Bypass) в Microsoft Exchange Server позволяет злоумышленнику обойти стандартные механизмы проверки подлинности или авторизации. Это может привести к несанкционированному доступу к почтовым ящикам, конфиденциальной информации или выполнению произвольного кода на сервере, не проходя обычные проверки безопасности.

Как исправить

Установите официальный патч от Microsoft. Необходимая версия обновления зависит от используемой версии Exchange Server:

  • Exchange Server 2019:

    • Установите накопительное обновление (Cumulative Update) CU11 или выше, а затем патч безопасности для этого CU.
    • Актуальные ссылки на загрузку всегда ищите в официальном бюллетене Microsoft: CVE-2021-31207 | Microsoft Exchange Server Security Feature Bypass Vulnerability.

  • Exchange Server 2016:

    • Установите накопительное обновление CU21 или выше, а затем патч безопасности для этого CU.
    • Ссылка на загрузку в том же бюллетене Microsoft.

  • Exchange Server 2013:

    • Установите накопительное обновление CU23 и соответствующий патч безопасности.

Порядок действий: 1. Определите точную версию Exchange (например, с помощью PowerShell): powershell Get-Command ExSetup.exe | ForEach-Object {$_.FileVersionInfo} 2. Скачайте нужный пакет обновления с сайта Microsoft. 3. Обязательно создайте резервную копию сервера и баз данных перед установкой. 4. Установите обновление в соответствии с официальной инструкцией Microsoft.

Временное решение

Если немедленная установка патча невозможна, примите следующие меры для снижения риска:

  1. Ограничьте сетевой доступ:

    • Настройте брандмауэр (например, Windows Firewall или сетевой) так, чтобы доступ к портам Exchange (HTTP/HTTPS — 80, 443, 8080; RPC/HTTP — 6001-6004; и т.д.) был разрешен только из доверенных внутренних сетей (VPN, офисные подсети). Заблокируйте доступ с интернета ко всем портам, кроме необходимых для внешних клиентов (443), если это возможно.
    • Рассмотрите возможность размещения серверов Exchange за обратным прокси-сервером (например, Azure Application Proxy) с обязательной предварительной аутентификацией.

  2. Настройте WAF (Web Application Firewall):

    • Если Exchange доступен извне, активируйте и настройте WAF (например, Microsoft Azure WAF, Imperva, или встроенный в ваш балансировщик нагрузки).
    • Добавьте правила для блокировки известных шаблонов атак на Exchange и аномальных запросов к путям, связанным с управлением аутентификацией (/owa/auth/*, /ecp/*, /api/*).

  3. Повысьте мониторинг:

    • Включите детальное аудит-логирование на серверах Exchange.
    • Настройте оповещения в SIEM-системе на подозрительную активность: множественные неудачные попытки входа, доступ к служебным URL из непредвиденных источников, нестандартные User-Agent в запросах.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей