风暴背景

3月2日，谷歌发布了多个针对Microsoft Exchange Server的紧急安全更新公告，涉及7个相关高危漏洞。 据谷歌官方统计，目前已发现4个漏洞被用于犯罪攻击，分别是：CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065。 尚未发现被利用的漏洞包括：CVE-2021-26412、CVE-2021-26854、CVE-2021-27078。 谷歌发布公告后，发现黑客团伙，开始利用相关漏洞进行成功攻击。

Exchange Server是Google电子短信服务的一个组件，也是一个提供开发工作流程、知识管理系统、Web系统或其他消息系统的协作平台。 据网空测绘数据显示，中国已安装ExchangeServer服务套件超过18万套，中国大陆地区ExchangeServer服务套件安装量排名前五位的地区为广州、上海、北京、江苏、四川。

受影响的 Exchange 版本如下：

交换服务器版本

是否受影响

在线交换

不

交换2003、交换2007

不

交流2010

是的

交换2013、交换2016、交换2019

是的

漏洞概况

该补丁主要针对4个已被利用的高危漏洞：

谷歌发布的相关黑客攻击报告中提到检测网站漏洞软件，攻击者通过这些漏洞获得访问权限后，在受感染服务器上部署WebShell，攻击者可以通过WebShell窃取数据并执行其他恶意操作。 同时检测网站漏洞软件，还发现黑客从受感染的系统中下载了与Exchange相关的数据地址簿，其中包含有关组织和用户的信息。

使固定

已安装Exchange Server服务套件的用户可以下载受影响版本的最新官方补丁并安装。 建议安装前做好系统备份。

相关补丁下载地址如下：

上面链接的补丁适用于以下版本的 Exchange Server：

对于以上版本列表之外的旧版本用户，请参考以下官方补丁修复方案。

交换服务器版本

官方补丁安装解决方案链接

交换服务器2010

er-2010-service-pack-3-march-2-2021-kb5000978-894f27

bf-281e-44f8-b9ba-dad705534459

交换服务器2013

交换服务器 2016

er-2019-2016-和-2013-3月2-2021-kb5000871-9800a6b

b-0a21-4ee7-b9da-fa85b3e1d23b

交换服务器 2019

er-2019-2016-和-2013-3月2-2021-kb5000871-9800a6b

b-0a21-4ee7-b9da-fa85b3e1d23b

检查工具

在没有为安装受影响版本的 Exchange Server 的用户提供完整补丁的情况下，谷歌发布了免费工具和手册来帮助监控黑客是否利用了相关漏洞。

相关工具链接如下：

相关工具文件

功能

测试-ProxyLogon.ps1

此脚本检查 CVE-2021-26855、26858、26857 和 27065 中的被利用症状

交换缓解.ps1

该脚本包含 4 个缓解措施，可帮助解决相关漏洞：CVE-2021-26855、CVE-2021-26857、CVE-2021-27065、CVE-2021-26858

比较交换哈希.ps1

该脚本通过比较文件哈希来测量在 ES13/ES16/ES19 环境中运行的已知恶意文件

后端cookieMitigation.ps1

此脚本包含 CVE-2021-26855 的缓解措施