Kuukausittainen päivitystiistai korjasi monia kriittisiä ja vakavia haavoittuvuuksia

Haavoittuvuus11/2021

Julkaistu 15.04.2021

Päivitetty 04.05.2021 13:16

Microsoft julkaisi päivitystiistaina 13.4.2021 (eng. Patch Tuesday) useita päivityksiä, joiden joukossa oli viisi nollapäivähaavoittuvuutta. Joukossa oli myös uusia Exchange-sähköpostipalvelimen haavoittuvuuksia, joiden päivitys tulee tehdä viipymättä.

Tiistaina 13.4.2021 tulleessa päivityserässä julkaistiin korjaukset 108:aan haavoittuvuuteen. Haavoittuvuuksista 19 on luokiteltu kriittisiksi ja 89 vakaviksi. Näihin haavoittuvuuksiin eivät lukeudu aiemmin huhtikuussa julkaistut kuusi Chromium Edge -haavoittuvuutta.

Nyt julkaistuihin Exchange-sähköpostipalvelimen haavoittuvuuksiin eivät liity maaliskuun alussa laajasti hyväksikäytetyt haavoittuvuudet (Ulkoinen linkki) tai Kyberturvallisuuskeskuksen julkaisema punainen varoitus (Ulkoinen linkki).

Kohde

Työasemat ja loppukäyttäjäsovellukset
Palvelimet ja palvelinsovellukset

Hyökkäystapa

Etäkäyttö
Ilman käyttäjän toimia
Paikallisesti
Ilman kirjautumista

Vaikutukset

Palvelunestohyökkäys
Komentojen mielivaltainen suorittaminen
Suojauksen ohittaminen
Käyttövaltuuksien laajentaminen
Tietojen muokkaaminen
Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

Korjaava ohjelmistopäivitys

Haavoittuvuuden kohde

Seuraavat neljä haavoittuvuutta ovat Microsoftin mukaan julkisuudessa, mutta eivät ole tulleet hyväksikäytetyiksi:

CVE-2021-27091 - RPC Endpoint Mapper Service Elevation of Privilege Vulnerability

CVE-2021-28312 - Windows NTFS Denial of Service Vulnerability

CVE-2021-28437 - Windows Installer Information Disclosure Vulnerability - PolarBear

CVE-2021-28458 - Azure ms-rest-nodeauth Library Elevation of

Käyttöoikeuksiin liittyvä haavoittuvuus:

Seuraava haavoittuvuus on tullut myös hyväksikäytetyksi

CVE-2021-28310 - Win32k Elevation of Privilege Vulnerability

Exchange-haavoittuvuuksien CVE-numerot:

CVE-2021-28480 - Microsoft Exchange Server Remote Code Execution Vulnerability

CVE-2021-28481 - Microsoft Exchange Server Remote Code Execution Vulnerability

CVE-2021-28482 - Microsoft Exchange Server Remote Code Execution Vulnerability

CVE-2021-28483 - Microsoft Exchange Server Remote Code Execution Vulnerability

Mistä on kysymys?

Päivitykset on julkaistu seuraaville haavoittuville Exchange-palvelimille:

Exchange Server 2013
Exchange Server 2016
Exchange Server 2019

Päivitykset on mahdollista asentaa seuraaville versioille:

Exchange Server 2013 CU23
Exchange Server 2016 CU19 and CU20
Exchange Server 2019 CU8 and CU9

BleepingComputer: Microsoft April 2021 Patch Tuesday fixes 108 flaws, 5 zero-days (ulkoinen linkki) (Ulkoinen linkki)

Microsoft: Released: April 2021 Exchange Server Security Updates (ulkoinen linkki) (Ulkoinen linkki)

04.05.2021 13:16

Lisätty tieto, että Exchange-haavoittuvuuteen on PoC-koodi saatavilla.