CVE-2021-34473

Суть уязвимости

Уязвимость (также известная как ProxyShell) позволяет неаутентифицированному злоумышленнику выполнить произвольный код на сервере Exchange через цепочку из трех уязвимостей в компонентах Client Access Service (CAS). Атака происходит через порт 443 (HTTPS).

Как исправить

Установите последние накопительные обновления (Cumulative Updates) для Microsoft Exchange Server. Уязвимость устранена в обновлениях безопасности от июля 2021 года.

1. Определите свою версию Exchange Server (например, через ECP или PowerShell): powershell Get-Command ExSetup.exe | ForEach-Object {$_.FileVersionInfo}

2. Установите соответствующее обновление:

   • Exchange Server 2019: Установите накопительное обновление 8 (CU8) или выше, а затем обновление безопасности (SU) от июля 2021 (KB5004779).
   • Exchange Server 2016: Установите накопительное обновление 21 (CU21) или выше, а затем обновление безопасности (SU) от июля 2021 (KB5004778).
   • Exchange Server 2013: Установите накопительное обновление 23 (CU23) или выше, а затем обновление безопасности (SU) от июля 2021 (KB5004777).

   Важно: Сначала убедитесь, что установлена поддерживаемая версия CU, и только затем применяйте SU.

Временное решение

Если немедленная установка обновлений невозможна, выполните следующие шаги:

1. Ограничьте доступ к порту 443 (HTTPS) Exchange с помощью брандмауэра. Разрешите подключения только из доверенных сетей (например, внутренней корпоративной сети, VPN).
2. Настройте правила в WAF (Web Application Firewall), если он используется перед Exchange:
   • Блокируйте запросы к URL-пути /autodiscover/.
   • Блокируйте запросы, содержащие в теле или заголовках строки, характерные для эксплойтов ProxyShell (например, Serialization).
3. Отключите службы Exchange, если они не критичны (крайняя мера). Это можно сделать через PowerShell: powershell Stop-Service MSExchangeFrontEndTransport Stop-Service MSExchangeServiceHost Внимание: Это нарушит работу веб-доступа к почте (OWA, ECP).