Microsoft Exchange Server 遠端執行程式碼弱點
CVE-2021-28480
安全性弱點
發行日期: 2021年4月13日
- Assigning CNA
- Microsoft
- CVE.org link
- CVE-2021-28480
- 向量字串
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
- Metrics
- CVSS:3.0 9.8 / 8.5基本分數量度:9.8 / 時間分數量度: 8.5
Metric
Value
基本分數量度(8)
攻擊媒介
該量度反映出可能利用弱點的環境。基本分數越高,攻擊者便更容易利用其更遠的遠端(邏輯上和物理上的),從而破壞易受攻擊的元件。
網路
易受攻擊的元件已繫結到網路堆疊,而且可能的攻擊者範圍超出所列的其他選項,甚至包括整個網際網路。這種弱點通常被稱為「可遠端利用」,並且可以被認為是一種或多種網路跳躍(例如,跨越一個或多個路由器)在協議級別可利用的攻擊。
攻擊複雜性
該量度描述攻擊者無法控制卻是利用此弱點必須存在的條件。這樣的條件可能需要收集有關目標或計算異常的更多資訊。該量度的評估不包括為了利用此弱點而進行使用者交互的任何要求。如果需要特定設定才能攻擊成功,則應假定該設定下易受攻擊元件的基本量度得到評分。
低
不存在專門的存取條件或可減輕的情況。攻擊者可以期望對易受攻擊的元件重複取得成功。
權限要求
該量度描述攻擊者在成功利用此弱點之前必須擁有的權限等級。
無
攻擊者在攻擊之前未經授權,因此不需要設定或檔案的任何存取權即可進行攻擊。
使用者互動
該量度擷取攻擊者以外的使用者參與成功入侵易受攻擊元件的要求。該量度確定是否可以僅根據攻擊者的意願來利用弱點,還是必須以某種方式參與到單獨的使用者(或使用者啟動的進程)中。
無
無需任何使用者進行任何互動,即可利用易受攻擊的系統。
範圍
成功的攻擊會影響除易受攻擊的元件以外的其他元件嗎?如果是這樣,則基本分數會增加,並且應相對於受影響的元件而對機密性、完整性和身份驗證量度進行評分。
未變更
遭利用的弱點僅會影響由相同安全性授權單位管理的資源。在這種情況下,易受攻擊的元件和受影響的元件是相同的,或者均由同一安全機構管理。
機密性
該量度用於衡量由於成功利用弱點,而對軟體元件管理之資訊資源機密性的影響。機密性是指將資訊存取和披露僅限於授權使用者,以及防止未經授權的使用者存取或披露資訊。
高
完全喪失機密性,導致向攻擊者洩漏受影響元件中的所有資源。或者,僅獲得一些受限資訊的存取權,但是所洩漏的資訊會帶來嚴重的直接影響。
完整性
該量度用於衡量成功利用的弱點對完整性的影響。完整性是指資訊的可信賴性和準確性。
高
完全喪失完整性,或者完全失去防護。例如,攻擊者能夠修改受受影響元件防護的任何/所有檔案。或者,只能修改某些檔案,但是惡意修改會對受影響的元件造成直接的嚴重後果。
可用性
該量度用於衡量由於成功利用弱點,而對受影響元件的可用性產生的影響。它是指受影響元件本身(例如,網路服務:如Web、資料庫、電子郵件)的可用性喪失。由於可用性是指信息資源的可存取性,因此消耗網路頻寬、處理器週期或磁碟空間的攻擊都會影響受影響元件的可用性。
高
完全喪失可用性,導致攻擊者能夠完全拒絕存取受影響元件中的資源。這種可用性喪失情況既可以在攻擊者繼續進行攻擊的同時存續,也可以在攻擊完成後仍然持續存在。或者,攻擊者可以拒絕某些可用性,但是可用性的喪失會對受影響的元件造成直接的嚴重後果(例如,攻擊者無法破壞現有連接,但可以阻止新連接;攻擊者可以反復利用一個弱點,該弱點在每次成功攻擊的情況下只會洩漏少量記憶體,但是在反復利用之後,該服務將變得完全不可用)。
時間分數量度(3)
利用程式碼成熟度
該量度用於衡量弱點遭到攻擊的可能性,而且通常根據惡意探索技術的目前狀態、惡意探索程式碼的可用性或「世界各地」使用中的惡意探索方式來進行。
未驗證
沒有可用的惡意探索程式碼,或者是理論上可進行惡意探索。
修復等級
弱點的修復等級是確定優先順序的重要因素。最初發佈時,未修補典型弱點。解決方法或修補程式可能會提供臨時修復,直到發佈正式修補程式或升級為止。這些各個階段中的每個階段都向下調整時間得分,反映出隨著補救工作的最終完成,緊迫性得到降低。
官方修正程式
有完整的廠商解決方案。廠商已經發佈了官方修補程式,或者可執行升級。
報告機密性
該量度用於衡量對弱點存在的信心程度,以及已知技術詳細資料的可信度。有時僅公開存在的弱點,但無具體細節。例如,可能認為會有不良影響,但根本原因可能未知。以後可能會透過研究來證實該弱點,儘管該研究可能不確定,但該研究提示了該弱點可能位於何處。最後,可以透過受影響的技術的作者或廠商的確認來確認弱點。當已知某個弱點確實存在時,該弱點的緊急性就會更高。該量度還表明了可能成為攻擊者的技術知識水準。
已確認
有詳細報告存在,或可能進行功能複製 (功能惡意探索可能做得到這點)。原始程式碼可用於獨立驗證研究的聲明,或者受影響程式碼的作者或廠商已確認存在此弱點。
請參閱常見弱點評分系統,以取得有關這些量度定義的詳細資訊。
可擅用性
下列表格提供最初公開時此弱點的可擅用性評定。
- Publicly disclosed
- 否
- Exploited
- 否
- Exploitability assessment
- 利用可能性高
常見問題集
我能在何處找到有關自我保護以免受此弱點影響的更多資訊?
如需詳細資訊,請參閱 MSRC 部落格文章 2021 年 4 月星期二更新套件現已提供使用 (英文)。
致謝
- National Security Agency
- Microsoft Security Team
安全性更新
若要了解您軟體的支援生命週期,請參閱 Microsoft 支援週期網站。
發行日期 Descending
產品
平台
影響
最大嚴重性
文章
下載
Build Number
2021年4月13日
Microsoft Exchange Server 2019 Cumulative Update 8
-
Remote Code Execution
Critical
- 15.02.0792.013
2021年4月13日
Microsoft Exchange Server 2016 Cumulative Update 19
-
Remote Code Execution
Critical
- 15.01.2176.012
2021年4月13日
Microsoft Exchange Server 2013 Cumulative Update 23
-
Remote Code Execution
Critical
- 15.00.1497.015
2021年4月13日
Microsoft Exchange Server 2019 Cumulative Update 9
-
Remote Code Execution
Critical
- 15.02.0858.010
2021年4月13日
Microsoft Exchange Server 2016 Cumulative Update 20
-
Remote Code Execution
Critical
- 15.01.2242.008
All results loaded
已載入全部 5 列
免責聲明
Microsoft 知識庫提供的資訊係依「現況」提供,不附任何保證。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。
修訂
version
revisionDate
description
1.0
2021年4月13日
資訊發行。
您對 MSRC 安全性更新導覽的滿意度為何?