新闻中心
——“因为我们的存在,让您的邮件系统更有价值!”
黑客正利用Exchange漏洞发送垃圾、病毒邮件!
近期陆续有Exchange客户反馈给靠谱®工程师,说内部账号被盗用发送垃圾邮件、病毒邮件给自己地址簿上的联系人;且发送的垃圾邮件里还带有少量以往接收到的正常邮件内容,以假乱真,容易误导欺骗收件人。
部分垃圾邮件样例截图如下,几乎都是这种类型的邮件:
开始以为是用户的邮箱密码被盗或被破解,但用户对密码进行修改,且符合强密码要求,但结果发现还是持续被盗用发送垃圾邮件。
靠谱®工程师通过对多个问题客户的Exchange进行协助排查,发现以下共性:
1、 目前反馈问题的基本都是Exchange 2016,且版本都不是2021年7月份后微软发布的CU21或以上版本。
2、 对Exchange的日志进行协助排查,发现这类邮件都不是正常的客户端类型来发送的(正常发送邮件类型比如OWA、Outlook Anywhere、SMTP),而是以EWS来提交发送的邮件,Exchange日志中可以看到客户端类型为ClientType:WebServices
综上分析,这次事件应该是微软发布的Exchange漏洞(CVE-2021-33766)造成的,漏洞详情参考:https://www.zerodayinitiative.com/advisories/ZDI-21-798/
简单来说就是黑客通过Exchange对外开放的443端口利用漏洞获取用户邮箱邮件和发送邮件,重要的是可以利用此漏洞绕过Exchange的身份验证,所以修改用户密码也是无效的。
针对该漏洞,靠谱®工程师建议尽快对Exchange版本进行升级,并打上对应的补丁,以Exchange 2016为例,如版本低于CU21,则建议直接升级版本到CU22,且打上CU22对应的补丁。
Exchange Server 2016 CU22新版下载:
https://www.microsoft.com/zh-CN/download/details.aspx?id=103478
Exchange Server 2016 CU22补丁下载:
https://www.microsoft.com/zh-cn/download/details.aspx?id=103546
备注:升级之前请对重要数据做好备份,以防升级过程中出现未知问题。如以上升级操作暂不能完成,建议关闭Exchange对外的443端口,外网用户采用VPN拨入或SMTP协议来发送邮件。
靠谱®邮件近20年来,专注Exchange Server,Office365及其他各类邮件系统安全收发邮件服务及解决方案,有相关邮件相关问题,欢迎咨询!
- 上一篇: 金亭汽车线束(苏州)有限公司牵手靠谱邮件
- 下一篇: 海能达通信股份有限公司牵手靠谱邮件
