靠谱平台全方位电子邮件服务商

黑客正利用Exchange漏洞发送垃圾、病毒邮件!

发布时间:2021-10-29 阅读次数:2131 次

最近一周,陆续有Exchange客户反馈给靠谱®工程师,说内部账号被盗用发送垃圾邮件、病毒邮件给自己地址簿上的联系人;且发送的垃圾邮件里还带有少量以往接收到的正常邮件内容,以假乱真,容易误导欺骗收件人。

 

部分垃圾邮件样例截图如下,几乎都是这种类型的邮件:

 

 

 

开始以为是用户的邮箱密码被盗或被破解,但用户对密码进行修改,且符合强密码要求,但结果发现还是持续被盗用发送垃圾邮件。

 

靠谱®工程师通过对多个问题客户的Exchange进行协助排查,发现以下共性:

1、 目前反馈问题的基本都是Exchange 2016,且版本都不是最新2021年7月份后微软发布的CU21或以上版本。

2、 对Exchange的日志进行协助排查,发现这类邮件都不是正常的客户端类型来发送的(正常发送邮件类型比如OWA、Outlook Anywhere、SMTP),而是以EWS来提交发送的邮件,Exchange日志中可以看到客户端类型为ClientType:WebServices

 

综上分析,这次事件应该是微软发布的Exchange漏洞(CVE-2021-33766)造成的,漏洞详情参考:https://www.zerodayinitiative.com/advisories/ZDI-21-798/

 

简单来说就是黑客通过Exchange对外开放的443端口利用漏洞获取用户邮箱邮件和发送邮件,最重要的是可以利用此漏洞绕过Exchange的身份验证,所以修改用户密码也是无效的。

针对该漏洞,靠谱®工程师建议尽快对Exchange版本进行升级,并打上对应的补丁,以Exchange 2016为例,如版本低于CU21,则建议直接升级版本至最新的CU22,且打上CU22对应的补丁。

 

Exchange Server 2016 CU22最新版下载:

https://www.microsoft.com/zh-CN/download/details.aspx?id=103478

Exchange Server 2016 CU22补丁下载:

https://www.microsoft.com/zh-cn/download/details.aspx?id=103546

 

备注:升级之前请对重要数据做好备份,以防升级过程中出现未知问题。

如以上升级操作暂不能完成,建议关闭Exchange对外的443端口,外网用户采用VPN拨入或SMTP协议来发送邮件。

 

靠谱®邮件19年来,专注Exchange Server,Office365及其他各类邮件系统安全收发邮件服务及解决方案,有任何邮件相关问题,欢迎咨询!

 

返回列表