【漏洞预警】微软3月安全更新补丁和Exchange高危漏洞风险
微软3月安全更新补丁和高危漏洞风险提示:
【漏洞公告】
2021年3月9日,微软官方发布了3月安全更新公告,包含了微软家族多个软件的安全更新补丁,此次发布更新了3月2日微软MSRC官方紧急发布的 Server多个0day漏洞的安全公告(更加详细罗列了受影响版本和缓解措施),和Windows DNS服务器远程执行代码漏洞,漏洞对应CVE编号包括:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065,DNS相关的有CVE-2021-26877、CVE-2021-26893、CVE-2021-26894、CVE-2021-26895、CVE-2021-26897,相关链接参考:
根据公告,此次更新除了详细罗列了受影响的 Server CU(累积更新)版本,针对不便于安装补丁的2013、2016、2019版本,官方还提供了临时缓解措施,另外,Windows DNS服务器存在远程代码执行漏洞,非DNS协议漏洞,因此仅限Windows DNS服务器,在AD域环境中,DNS服务是一个基本网络组件,多数时候直接和域控安装部署在一起,因此,恶意攻击者可能会尝试通过该漏洞获取域管理权限,建议尽快安装安全更新补丁或采取临时缓解措施加固系统。
【影响范围】
Windows DNS远程代码执行漏洞(CVE-2021-26877、CVE-2021-26893、CVE-2021-26894、CVE-2021-26895、CVE-2021-26897)影响和微软已经提供补丁的的系统列表(主要是Server系统),相关参考:
Windows Server 2012 R2 (Server Core )
Windows Server 2012 R2 (Server Core )
Windows Server 2012 R2
Windows Server 2012 R2
Windows Server 2012 (Server Core )
Windows Server 2012 (Server Core )
Windows Server 2012
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core )
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core )
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core )
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core )
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core )
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core )
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016(Server Core )
Windows Server 2016
Windows Server, version 2004 (Server Core )
Windows Server, version 1909 (Server Core )
Windows Server 2019(Server Core )
Windows Server 2019
Windows Server, version 20H2 (Server Core )
Server远程代码执行漏洞(CVE-2021-26855)影响和微软已经提供补丁的的系统列表,相关参考:
Server 2013 Update 23
Server 2016 Update 14
Server 2016 Update 15
Server 2016 Update 16
Server 2016 Update 18
Server 2016 Update 19
Server 2019 Update 4
Server 2019 Update 5
Server 2019 Update 6
Server 2019 Update 7
Server 2019 Update 8
Server远程代码执行漏洞(CVE-2021-26857)影响和微软已经提供补丁的的系统列表,相关参考:
Server 2010 Service Pack 3
Server 2013 Update 23
Server 2016 Update 14
Server 2016 Update 15
Server 2016 Update 16
Server 2016 Update 18
Server 2016 Update 19
Server 2019 Update 4
Server 2019 Update 5
Server 2019 Update 6
Server 2019 Update 7
Server 2019 Update 8
Server远程代码执行漏洞(CVE-2021-26858)影响和微软已经提供补丁的的系统列表,相关参考:
Server 2013 Update 23
Server 2016 Update 14
Server 2016 Update 15
Server 2016 Update 16
Server 2016 Update 18
Server 2016 Update 19
Server 2019 Update 4
Server 2019 Update 5
Server 2019 Update 6
Server 2019 Update 7
Server 2019 Update 8
Server远程代码执行漏洞(CVE-2021-27065)影响和微软已经提供补丁的的系统列表,相关参考:
Server 2013 Update 23
Server 2016 Update 14
Server 2016 Update 15
Server 2016 Update 16
Server 2016 Update 18
Server 2016 Update 19
Server 2019 Update 4
Server 2019 Update 5
Server 2019 Update 6
Server 2019 Update 7
Server 2019 Update 8
【漏洞描述】
根据分析,CVE-2021-26855,主要为SSRF(服务器端请求伪造)漏洞,恶意攻击者可以通过该漏洞进行身份验证绕过微软数字签名验证拒绝服务漏洞,漏洞可以通过Nmap远程探测/owa/auth/路径下文件识别;
CVE-2021-26857,主要为不安全的反序列化漏洞,恶意攻击者通过此漏洞可以在 server上以SYSTEM权限运行代码,前提条件需要管理员权限或配合其他漏洞执行;
CVE-2021-26858、CVE-2021-27065发发库Sitemaps,主要为任意文件写入漏洞,恶意攻击者可通过CVE-2021-26855 SSRF漏洞破坏管理员凭据来进行身份认证,认证通过后,攻击者可通过此漏洞将恶意文件写入服务器(即),并进一步实施横向移动攻击。
CVE-2021-26877、CVE-2021-26893、CVE-2021-26894、CVE-2021-26895、CVE-2021-26897,主要为Windows DNS服务器远程执行代码漏洞和拒绝服务漏洞,恶意攻击者可以通过该漏洞对未打补丁的目标系统进行攻击,实现远程代码执行或拒绝服务效果,由于DNS服务器在Windows AD域环境的重要性【漏洞预警】微软3月安全更新补丁和Exchange高危漏洞风险,漏洞威胁风险较大,建议尽快安装安全更新补丁或采取临时缓解措施加固系统。
3月安全公告列表,包含的其他漏洞(非全部)快速阅读指引:
CVE-2021-1640|Windows打印后台处理程序特权提升漏洞
CVE-2021-24089|HEVC Video扩展程序远程执行代码漏洞
CVE-2021-24104| 欺骗漏洞
CVE-2021-24107|Windows事件追踪信息泄露漏洞
CVE-2021-24108| Office远程执行代码漏洞
CVE-2021-24110|HEVC Video扩展程序远程执行代码漏洞
CVE-2021-26411| 内存损坏漏洞
CVE-2021-26859| Power BI信息泄漏漏洞
CVE-2021-26867|Windows Hyper-V远程执行代码漏洞
CVE-2021-26869|Windows ActiveX安装程序服务信息泄露漏洞
CVE-2021-26884|Windows Media照片编解码器信息泄漏漏洞
CVE-2021-26887| Windows文件夹重定向特权提升漏洞
CVE-2021-26896|Windows DNS服务器拒绝服务漏洞
CVE-2021-26902|HEVC Video扩展程序远程执行代码漏洞
CVE-2021-27047|HEVC Video扩展程序远程执行代码漏洞
CVE-2021-27048|HEVC Video扩展程序远程执行代码漏洞
CVE-2021-27049|HEVC Video扩展程序远程执行代码漏洞
CVE-2021-27050|HEVC Video扩展程序远程执行代码漏洞
CVE-2021-27051|HEVC Video扩展程序远程执行代码漏洞
CVE-2021-27052| Server信息泄露漏洞
CVE-2021-27054| Excel远程执行代码漏洞
CVE-2021-27055| Visio安全功能绕过漏洞
CVE-2021-27056| 远程代码执行漏洞
CVE-2021-27057| Office远程执行代码漏洞
CVE-2021-27058| Office 远程执行代码漏洞
CVE-2021-27059| Office远程执行代码漏洞
CVE-2021-27063|Windows DNS服务器拒绝服务漏洞
CVE-2021-27074|Azure Sphere未签名代码执行漏洞
CVE-2021-27075|Windows虚拟机信息泄露漏洞
CVE-2021-27076| Server远程执行代码漏洞
CVE-2021-27080|Azure Sphere未签名代码执行漏洞
CVE-2021-27082|Visual Studio Code之Quantum开发工具包的远程执行代码漏洞
【缓解措施】
高危:目前 Server漏洞细节已经部分公开,恶意攻击者也可以通过补丁对比方式分析出漏洞触发点,并进一步开发漏洞利用代码,建议及时测试安全更新补丁并应用安装和完善威胁识别、漏洞缓解措施。
漏洞缓解措施(加固):
通过IIS Re-Write(使用IIS的Rewrite Module)规则过滤https恶意请求;
临时禁用Unified (UM);
临时禁用 Control Panel (ECP) VDir;
临时禁用Offline Address Book (OAB) VDir;
微软提供了检测和加固脚本、Nmap扫描脚本等,下载地址:
相关参考:
威胁识别(日志分析和排查):
server日志文件路径主要再以下目录:
%%\\ Server\V15\Logging
CVE-2021-26855漏洞利用会在日志中留下痕迹,文件夹路径:
%%\\ Server\V15\Logging\
CVE-2021-26858漏洞利用会在OAB日志中留下痕迹,文件路径:
%%\\ Server\V15\Logging\\*.log
CVE-2021-26857漏洞利用会在系统应用日志中留下痕迹微软数字签名验证拒绝服务漏洞,关注System.消息:
Source: Unified
: Error
Event Message : System.
CVE-2021-27065漏洞利用会在ECP日志中留下痕迹,文件路径:
%%\\ Server\V15\Logging\ECP\Server\*.log
部署有 server的用户可以通过排查日志,分析是否已经受到攻击。
【本文来源于互联网转载,如侵犯您的权益或不适传播,请邮件通知我们删除】