CVE-2021-42321

Microsoft Exchange

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-17

Официальное описание

An authenticated attacker could leverage improper validation in cmdlet arguments within Microsoft Exchange and perform remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Аутентифицированный злоумышленник может отправить специально сформированные аргументы в командлеты Exchange (например, New-MailboxExportRequest), чтобы обойти проверки и выполнить произвольный код на сервере Exchange с правами SYSTEM.

Как исправить

Установите последние накопительные обновления (Cumulative Update - CU) для вашей версии Exchange Server и соответствующий патч безопасности (Security Update - SU).

  1. Определите текущую версию Exchange Server. Выполните в PowerShell от имени администратора: powershell Get-Command ExSetup | ForEach-Object {$_.FileVersionInfo} Или проверьте версию в Центре администрирования Exchange (EAC).

  2. Установите накопительное обновление (CU), если вы не на последней версии для вашей ветки. Актуальные ссылки всегда на сайте Microsoft. Пример для Exchange Server 2019:

    • Текущая версия: Exchange Server 2019 CU14.
    • Скачайте и установите CU14, если у вас более старая версия (CU13, CU12 и т.д.).

  3. Установите патч безопасности (SU) для вашего CU. Для уязвимости CVE-2021-42321 необходим патч, выпущенный в ноябре 2021 года.

    • Для Exchange Server 2019 CU11 и CU12: Установите KB5007409 (Ноябрьское обновление безопасности для Exchange Server 2019).
    • Для Exchange Server 2016 CU21 и CU22: Установите KB5007409 (Ноябрьское обновление безопасности для Exchange Server 2016).
    • Общий порядок: Скачайте SU с портала Microsoft Update, Центра обновления Windows или из каталога обновлений. Установите его, следуя инструкциям в KB.

Важно: Установка накопительного обновления (CU) является обязательным шагом перед установкой многих патчей безопасности. Сверьтесь с таблицей в официальном бюллетене Microsoft.

Временное решение

Если немедленная установка обновления невозможна, ограничьте доступ к уязвимым компонентам.

  1. Блокировка на уровне сети (брандмауэр):

    • Ограничьте входящий доступ к портам Exchange (например, 443 для HTTPS) только для доверенных IP-адресов (офисы, VPN).
    • Реализуйте сегментацию сети, отделив серверы Exchange от пользовательских сегментов.

  2. Настройка WAF (Web Application Firewall):

    • Настройте правила для блокировки HTTP-запросов, содержащих в теле или параметрах подозрительные шаблоны, характерные для эксплуатации этой уязвимости (например, попытки вызова New-MailboxExportRequest с аргументами, содержащими символы escape-последовательностей).
    • Пример сигнатуры (концепт, требует адаптации под ваш WAF): detect sql_injection, cmd_injection from request_body where pattern_match("(\$\(|`|\\|New-MailboxExportRequest.*-FilePath.*\\\\\\\\)")

  3. Усиление мониторинга (до установки патча):

    • Включите аудит и отслеживайте в журналах IIS и Windows события, связанные с использованием командлета New-MailboxExportRequest и подобных.
    • Настройте оповещения в SIEM на большое количество failed requests к ECP/OWA или подозрительную активность от одного пользователя.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей