How to fix CVE-2023-21709

CVE-2023-21709 là gì?

CVE-2023-21709 (điểm CVSS 9,8 trên 10): Là một lỗ hổng nghiêm trọng trong Microsoft Exchange Server có thể cho phép kẻ tấn công nâng cao đặc quyền của mình lên mức quản trị viên toàn cục. Lỗ hổng này được phát hiện bởi một nhà nghiên cứu an ninh của Tenable Network Security và đã được Microsoft vá vào ngày 8 tháng 8 năm 2023.

Lỗ hổng CVE-2023-21709 nằm trong cách Exchange Server xử lý các yêu cầu từ các ứng dụng bên ngoài. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một yêu cầu đặc biệt đến Exchange Server. Yêu cầu này sẽ khiến Exchange Server chạy mã mà kẻ tấn công cung cấp, cho phép kẻ tấn công nâng cao đặc quyền của mình.

Lỗ hổng CVE-2023-21709 được đánh giá là nghiêm trọng và Microsoft khuyến nghị tất cả người dùng Exchange Server cập nhật bản vá bảo mật ngay lập tức.

Xử lý lỗ hổng CVE-2023-21709 như thế nào?

Cách 1: Cài đặt Exchange Server 2016 hoặc 2019 tháng 8 SU (hoặc mới hơn)

Cách 2: Tải xuống bản phát hành mới nhất: CVE-2023-21709.ps1

Tập lệnh CVE-2023-21709.ps1 có thể được sử dụng để giải quyết lỗ hổng Exchange Server CVE-2023-21709 bằng cách xóa TokenCacheModule khỏi IIS. Nó cũng có thể được sử dụng để khôi phục tệp TokenCacheModule. Tập lệnh cho phép bạn chỉ định rõ ràng một tập hợp con của các máy chủ Exchange TokenCacheModule cần xóa hoặc khôi phục trên đó. Cũng có thể loại trừ một tập hợp con các máy chủ Exchange khỏi hoạt động được thực hiện bởi tập lệnh.

Yêu cầu

Tập lệnh này phải được chạy với tư cách Quản trị viên trong Exchange Management Shell (EMS). Người dùng phải là thành viên của Organization Management.

Làm thế nào để chạy

Ví dụ:

Cú pháp này loại bỏ TokenCacheModule từ tất cả các máy chủ Exchange trong tổ chức.

.\CVE-2023-21709.ps1

Cú pháp này loại bỏ TokenCacheModule từ ExchangeSrv01 và ExchangeSrv02.

.\CVE-2023-21709.ps1 -ExchangeServerNames ExchangeSrv01, ExchangeSrv02

Cú pháp này loại bỏ TokenCacheModule từ tất cả các máy chủ Exchange trong tổ chức ngoại trừ ExchangeSrv02.

.\CVE-2023-21709.ps1 -SkipExchangeServerNames ExchangeSrv02

Cú pháp này khôi phục TokenCacheModule trên tất cả các máy chủ Exchange trong tổ chức.

.\CVE-2023-21709.ps1 -Rollback

Cách 3: Áp dụng giải pháp cho CVE theo cách thủ công trên từng máy chủ bằng cách chạy lệnh sau từ cửa sổ PowerShell nâng cao:

Clear-WebConfiguration -Filter "/system.webServer/globalModules/add[@name='TokenCacheModule']" -PSPath "IIS:\"

Để khôi phục giải pháp cho CVE theo cách thủ công trên mỗi máy chủ, hãy chạy như sau:

New-WebGlobalModule -Name "TokenCacheModule" -Image "%windir%\System32\inetsrv\cachtokn.dll"

Ngoài ra bạn có thể hạn chế việc khai thác lỗ hổng bằng việc:

1. Sử dụng tường lửa để chặn các kết nối đến Exchange Server từ các nguồn không xác định.

2. Sử dụng mật khẩu mạnh cho Exchange Server và các tài khoản người dùng.

3. Bật xác thực hai yếu tố cho Exchange Server.

4. Theo dõi hoạt động của Exchange Server để phát hiện bất kỳ hoạt động đáng ngờ nào.

Kết luận

Mặc dù Microsoft khuyên bạn nên cài đặt các bản cập nhật bảo mật càng sớm càng tốt, nhưng việc chạy tập lệnh hoặc lệnh trên phiên bản Exchange Server được hỗ trợ trước khi cài đặt các bản cập nhật sẽ giải quyết lỗ hổng này.