Microsoft Exchange Server漏洞缓解措施 - 2021年3月15日更新
更新说明(2021年3月15日):若尚未安装补丁且未实施下述缓解措施,推荐使用一键式工具"Exchange本地缓解工具"作为临时解决方案。
微软强烈建议客户将本地Exchange环境升级至最新支持版本。对于无法立即安装更新的客户,我们提供以下替代缓解技术,帮助需要更多时间修补部署并愿意承担风险和服务功能折衷的Exchange用户。
请注意:若Exchange服务器已遭入侵,这些缓解措施不能作为修复方案,也不能提供完全防护。强烈建议使用检测指南调查Exchange部署状态。建议在实施缓解策略的同时或之后启动调查。
缓解策略选择
推荐方案:安装安全补丁
- 唯一完整缓解方案,不影响功能
- 安全更新安装指南:技术社区博客
- 注意:无法清除已入侵的攻击者
临时缓解措施(适用于Exchange 2013/2016/2019)
- 实施IIS重写规则过滤恶意HTTPS请求
- 禁用统一消息服务(UM)
- 禁用Exchange控制面板(ECP)虚拟目录
- 禁用离线地址簿(OAB)虚拟目录
可通过下文所述的ExchangeMitigations.ps1脚本实施或回滚这些措施,但会对Exchange功能产生已知影响。这些措施对当前已知攻击有效,但不保证完全缓解所有漏洞利用方式。
ExchangeMitigations.ps1脚本详解
概述
该脚本包含针对以下漏洞的缓解措施:
- CVE-2021-26855
- CVE-2021-26857
- CVE-2021-27065
- CVE-2021-26858
需通过提升权限的Exchange PowerShell会话执行。
后端Cookie缓解
- 适用漏洞:CVE-2021-26855
- 作用:过滤包含恶意X-AnonResource-Backend和畸形X-BEResource cookie的HTTPS请求
- 要求:URL重写模块(IIS 10+需v2.1,IIS 8.5及以下需v2.0)
- 影响:正确安装URL重写模块时无功能影响
统一消息服务缓解
- 适用漏洞:CVE-2021-26857
- 影响:导致统一消息/语音邮件服务中断,同时禁用高级监控功能
ECP应用池缓解
- 适用漏洞:CVE-2021-27065 & CVE-2021-26858
- 影响:ECP控制面板不可用,需通过远程PowerShell进行管理,禁用高级监控功能
OAB应用池缓解
- 适用漏洞:CVE-2021-27065 & CVE-2021-26858
- 影响:离线地址簿不可用,Outlook客户端无法下载,可能导致通讯录数据过时
检测与调查技术
Nmap扫描脚本
- 检测CVE-2021-26855漏洞状态
- 验证暴露服务器的补丁和缓解状态
Test-ProxyLogon.ps1脚本
- 检查Exchange服务器是否存在ProxyLogon攻击迹象
- 需通过提升权限的Exchange管理Shell运行
Microsoft安全应急响应工具(MSERT)
- 最新版Microsoft Safety Scanner包含检测Exchange漏洞利用的安全情报更新
- 提供完全扫描和自定义扫描两种模式:
- 完全扫描:最彻底但耗时较长
- 自定义扫描:针对已知恶意文件路径:
%IIS安装路径%\aspnet_client\*%Exchange安装路径%\FrontEnd\HttpProxy\owa\auth\*- ASP.NET临时文件路径
%Exchange安装路径%\FrontEnd\HttpProxy\ecp\auth\*
这些修复步骤对已知攻击模式有效,但不保证完全缓解所有漏洞利用方式。Microsoft Defender将持续监控并提供最新安全更新。