【通告更新】已验证EXP可用，Microsoft Exchange远程代码执行漏洞安全风险通告三次更新

致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

风险通告

近日，奇安信CERT监测到安全研究员公开了Microsoft Exchange多个漏洞（ProxyShell）的细节、PoC及利用视频。其中包括CVE-2021-34473 Microsoft Exchange ACL绕过漏洞、CVE-2021-34523 Microsoft Exchange权限提升漏洞以及CVE-2021-31207 Microsoft Exchange授权任意文件写入漏洞。攻击者可通过组合这些漏洞在未经身份验证的情况下远程接管目标服务器。

由于Microsoft Exchange多个漏洞（ProxyShell）细节及部分PoC已公开，黑客可能根据这些细节开发出漏洞利用代码，从而在无需身份验证的情况下组合这些漏洞在目标机器上远程执行代码，漏洞的现实威胁进一步上升。奇安信CERT强烈建议客户尽快修复漏洞。

近日，奇安信 CERT 监测到Microsoft Exchange多个漏洞（ProxyShell） EXP 已公开，经验证，此EXP可用。漏洞的现实威胁进一步上升。奇安信CERT强烈建议客户尽快修复漏洞。

本次更新内容：

更新EXP公开状态，新增验证EXP可用截图

更新奇安信网神网络数据传感器系统产品检测方案、奇安信网神智慧防火墙产品防护方案等

当前漏洞状态

细节是否公开	PoC状态	EXP状态	在野利用
是	已公开	已公开	已发现

漏洞描述

近日，奇安信CERT监测到安全研究员公开了Microsoft Exchange多个漏洞（ProxyShell）的细节、PoC及验证视频。其中包括CVE-2021-34473 Microsoft Exchange ACL绕过漏洞、CVE-2021-34523 Microsoft Exchange权限提升漏洞以及CVE-2021-31207 Microsoft Exchange授权任意文件写入漏洞。攻击者可通过组合这些漏洞在未经身份验证的情况下远程接管目标服务器。

1、CVE-2021-34473 Microsoft Exchange ACL绕过漏洞

漏洞名称	Microsoft Exchange ACL绕过漏洞
漏洞类型	身份验证绕过	风险等级	紧急	漏洞ID	CVE-2021-34473
公开状态	已公开	在野利用	已发现
漏洞描述	Microsoft Exchange存在ACL绕过漏洞，攻击者可利用该漏洞绕过相关权限认证，可配合其他漏洞进一步利用，实现任意代码执行。
参考链接
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473

2、CVE-2021-34523 Microsoft Exchange权限提升漏洞

漏洞名称	Microsoft Exchange权限提升漏洞
漏洞类型	权限提升	风险等级	紧急	漏洞ID	CVE-2021-34523
公开状态	已公开	在野利用	已发现
漏洞描述	Microsoft Exchange存在权限提升漏洞，成功利用此漏洞的远程攻击者可获得在目标系统上执行Exchange PowerShell的权限，可配合其他漏洞进一步利用，实现任意代码执行。
参考链接
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523

3、CVE-2021-31207 Microsoft Exchange任意文件写入漏洞

漏洞名称	Microsoft Exchange任意文件写入漏洞
漏洞类型	任意文件写入	风险等级	紧急	漏洞ID	CVE-2021-31207
公开状态	已公开	在野利用	已发现
漏洞描述	Microsoft Exchange存在任意文件写入漏洞，经过身份认证的远程攻击者可利用此漏洞在目标系统上写入WebShell，从而实现任意代码执行。
参考链接
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207

奇安信CERT已复现ProxyShell（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）漏洞，复现截图如下：

奇安信CERT已验证ProxyShell（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）漏洞公开EXP可用，验证截图如下：

风险等级

奇安信 CERT风险评级为：高危

风险等级：蓝色（一般事件）

影响范围

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

处置建议

当前微软官方已发布以上漏洞受影响版本的安全补丁，强烈建议受影响的用户尽快安装安全补丁进行防护。建议受影响用户通过以下链接进行手动更新：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207

产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全面支持对Microsoft Exchange Server ProxyShell 链远程代码执行漏洞的防护。

奇安信网神智慧防火墙产品防护方案

奇安信新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2108061800” 及以上版本并启用规则ID: 1242801进行检测。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：6808，建议用户尽快升级检测规则库至2108141000以后版本并启用该检测规则。

奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则，请将规则包升级到3.0.0814.12982及以上版本。规则名称：Microsoft Exchange Server ACL 绕过漏洞，规则ID：0x10020DB7。奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

参考资料

[1]https://i.blackhat.com/USA21/Wednesday-Handouts/us-21-ProxyLogon-Is-Just-The-Tip-Of-The-Iceberg-A-New-Attack-Surface-On-Microsoft-Exchange-Server.pdf

[2]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473

[3]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523

[4]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207

时间线

2021年8月6日，奇安信 CERT发布安全风险通告

2021年8月14日，奇安信 CERT发布安全风险通告第二次更新

2021年8月16日，奇安信 CERT发布安全风险通告第三次更新

点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓