Microsoft Exchange Server 權限提高弱點
CVE-2021-34523
安全性弱點
發行日期: 2021年7月13日
- Assigning CNA
- Microsoft
- CVE.org link
- CVE-2021-34523
- 影響
- 權限提高
- 最大嚴重性
- 重要
- 向量字串
CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N/E:U/RL:O/RC:C
- Metrics
- CVSS:3.0 9.0 / 7.8基本分數量度:9.0 / 時間分數量度: 7.8
Metric
Value
基本分數量度(8)
攻擊媒介
該量度反映出可能利用弱點的環境。基本分數越高,攻擊者便更容易利用其更遠的遠端(邏輯上和物理上的),從而破壞易受攻擊的元件。
本機
易受攻擊的元件未繫結到網路堆疊,而攻擊者的路徑是透過讀取/寫入/執行功能實現的。攻擊者要麼透過在本地(例如,鍵盤、控制台)或遠端(例如,SSH)存取目標系統來利用此弱點,要麼依靠其他人的使用者交互來執行利用弱點所需的操作(例如,欺騙合法使用者打開惡意文件)。
攻擊複雜性
該量度描述攻擊者無法控制卻是利用此弱點必須存在的條件。這樣的條件可能需要收集有關目標或計算異常的更多資訊。該量度的評估不包括為了利用此弱點而進行使用者交互的任何要求。如果需要特定設定才能攻擊成功,則應假定該設定下易受攻擊元件的基本量度得到評分。
低
不存在專門的存取條件或可減輕的情況。攻擊者可以期望對易受攻擊的元件重複取得成功。
權限要求
該量度描述攻擊者在成功利用此弱點之前必須擁有的權限等級。
無
攻擊者在攻擊之前未經授權,因此不需要設定或檔案的任何存取權即可進行攻擊。
使用者互動
該量度擷取攻擊者以外的使用者參與成功入侵易受攻擊元件的要求。該量度確定是否可以僅根據攻擊者的意願來利用弱點,還是必須以某種方式參與到單獨的使用者(或使用者啟動的進程)中。
無
無需任何使用者進行任何互動,即可利用易受攻擊的系統。
範圍
成功的攻擊會影響除易受攻擊的元件以外的其他元件嗎?如果是這樣,則基本分數會增加,並且應相對於受影響的元件而對機密性、完整性和身份驗證量度進行評分。
已變更
遭利用的弱點可能會影響資源,而受影響資源超出該弱點元件的安全性授權單位所管理的安全範圍。在這種情況下,易受攻擊的元件和受影響的元件是不同的,並由不同的安全機構管理。
機密性
該量度用於衡量由於成功利用弱點,而對軟體元件管理之資訊資源機密性的影響。機密性是指將資訊存取和披露僅限於授權使用者,以及防止未經授權的使用者存取或披露資訊。
高
完全喪失機密性,導致向攻擊者洩漏受影響元件中的所有資源。或者,僅獲得一些受限資訊的存取權,但是所洩漏的資訊會帶來嚴重的直接影響。
完整性
該量度用於衡量成功利用的弱點對完整性的影響。完整性是指資訊的可信賴性和準確性。
高
完全喪失完整性,或者完全失去防護。例如,攻擊者能夠修改受受影響元件防護的任何/所有檔案。或者,只能修改某些檔案,但是惡意修改會對受影響的元件造成直接的嚴重後果。
可用性
該量度用於衡量由於成功利用弱點,而對受影響元件的可用性產生的影響。它是指受影響元件本身(例如,網路服務:如Web、資料庫、電子郵件)的可用性喪失。由於可用性是指信息資源的可存取性,因此消耗網路頻寬、處理器週期或磁碟空間的攻擊都會影響受影響元件的可用性。
無
不會對受影響元件的可用性造成影響。
時間分數量度(3)
利用程式碼成熟度
該量度用於衡量弱點遭到攻擊的可能性,而且通常根據惡意探索技術的目前狀態、惡意探索程式碼的可用性或「世界各地」使用中的惡意探索方式來進行。
未驗證
沒有可用的惡意探索程式碼,或者是理論上可進行惡意探索。
修復等級
弱點的修復等級是確定優先順序的重要因素。最初發佈時,未修補典型弱點。解決方法或修補程式可能會提供臨時修復,直到發佈正式修補程式或升級為止。這些各個階段中的每個階段都向下調整時間得分,反映出隨著補救工作的最終完成,緊迫性得到降低。
官方修正程式
有完整的廠商解決方案。廠商已經發佈了官方修補程式,或者可執行升級。
報告機密性
該量度用於衡量對弱點存在的信心程度,以及已知技術詳細資料的可信度。有時僅公開存在的弱點,但無具體細節。例如,可能認為會有不良影響,但根本原因可能未知。以後可能會透過研究來證實該弱點,儘管該研究可能不確定,但該研究提示了該弱點可能位於何處。最後,可以透過受影響的技術的作者或廠商的確認來確認弱點。當已知某個弱點確實存在時,該弱點的緊急性就會更高。該量度還表明了可能成為攻擊者的技術知識水準。
已確認
有詳細報告存在,或可能進行功能複製 (功能惡意探索可能做得到這點)。原始程式碼可用於獨立驗證研究的聲明,或者受影響程式碼的作者或廠商已確認存在此弱點。
請參閱常見弱點評分系統,以取得有關這些量度定義的詳細資訊。
可擅用性
下列表格提供最初公開時此弱點的可擅用性評定。
- Publicly disclosed
- 是
- Exploited
- 否
- Exploitability assessment
- 利用可能性低
致謝
- Orange Tsai(@orange_8361) from DEVCORE Research Team working with Trend Micro Zero Day Initiative
安全性更新
若要了解您軟體的支援生命週期,請參閱 Microsoft 支援週期網站。
發行日期 Descending
產品
平台
影響
最大嚴重性
文章
下載
Build Number
2021年7月13日
Microsoft Exchange Server 2019 Cumulative Update 8
-
Elevation of Privilege
Important
- 15.02.0792.013
2021年7月13日
Microsoft Exchange Server 2016 Cumulative Update 19
-
Elevation of Privilege
Important
- 15.01.2176.012
2021年7月13日
Microsoft Exchange Server 2016 Cumulative Update 20
-
Elevation of Privilege
Important
- 15.01.2242.008
2021年7月13日
Microsoft Exchange Server 2019 Cumulative Update 9
-
Elevation of Privilege
Important
- 15.02.0858.010
2021年7月13日
Microsoft Exchange Server 2013 Cumulative Update 23
-
Elevation of Privilege
Important
- 15.00.1497.015
All results loaded
已載入全部 5 列
免責聲明
Microsoft 知識庫提供的資訊係依「現況」提供,不附任何保證。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。
修訂
version
revisionDate
description
1.0
2021年7月13日
資訊發行。此 CVE 已由 2021 年 4 月發行的更新解決,但不慎自 2021 年 4 月安全性更新中遺漏該 CVE。這只是資訊的變更。若客戶已安裝 2021 年 4 月更新,則不必採取進一步動作。
您對 MSRC 安全性更新導覽的滿意度為何?