隨著影響 Exchange Server 2016 / 2019 的 CVE-2021-42321 安全漏洞報告的正式披露，微軟也正在敦促管理員盡快實施修復(fù)。據(jù)悉，該漏洞允許經(jīng)過身份驗證的攻擊者，在易受攻擊的服務(wù)器上遠(yuǎn)程執(zhí)行代碼(RCE)。不過 CVE-2021-42321 的影響相對有限，僅波及本地的 Microsoft Exchange 服務(wù)器，混合模式之外的 Exchange Online 服務(wù)無此顧慮。

[[434374]]

微軟解釋稱，其已知曉利用某個漏洞(CVE-2021-42321)實施有限針對性攻擊，具體說來是 Exchange Server 2016 / 2019 中的一個身份驗證后漏洞，因而建議管理員立即安裝更新以獲得防護(hù)能力。

如需快速清點生產(chǎn)環(huán)境中的所有 Exchange Server(CU & SU)的更新部署情況，可借助最新版本的 Exchange Server Health Checker 腳本來實現(xiàn)。

如需檢查是否有任何一臺 Exchange Server 受到了嘗試性的 CVE-2021-42321 攻擊，則必須在每臺服務(wù)器上運行如下 PowerShell 命令，以查詢事件日志中的特定事件：

Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" } 

Bleeping Computer指出，自 2021 年初以來，Exchange 管理員已經(jīng)遭遇了兩波針對 ProxyLogon 和 ProxyShell 漏洞的大規(guī)模攻擊。

• 3 月初開始，多個黑客組織利用 ProxyLogon 部署 Web Shell、加密貨幣挖礦程序、勒索或其它惡意軟件，全球數(shù)萬個組織中超過 25 萬臺 Exchange 服務(wù)器都成為了他們的目標(biāo)。
• 8 月，在安全研究人員設(shè)法重現(xiàn)了有效的漏洞利用之后，攻擊者還開始利用 ProxyShel 漏洞來掃描和入侵 Microsoft Exchange 服務(wù)器。
• 9 月，微軟添加了一項名為 Microsoft Exchange Emergency Mitigation(簡稱 EM)的新 Exchange Server 功能，可為易受攻擊的 Exchange 服務(wù)器提供自動保護(hù)。

其通過自動應(yīng)用針對高風(fēng)險安全錯誤的臨時緩解措施，來保護(hù)本地服務(wù)器免受傳入攻擊，并為管理員提供更多時間來部署安全更新。

尷尬的是，盡管微軟表示會借助這項新功能來緩解 CVE-2021-42321 等主動利用漏洞，但今日更新的公告中仍未提及任何有關(guān) Exchange EM 已投入使用的細(xì)節(jié)。