الثغرات ›

CVE-2021-42321

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

Microsoft Exchange Server Remote Code Execution Vulnerability — An authenticated attacker could leverage improper validation in cmdlet arguments within Microsoft Exchange and perform remote code execu

                    نُشر: Nov 17, 2021                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

CVE-2021-42321 is a critical remote code execution vulnerability in Microsoft Exchange Server affecting authenticated users. With a CVSS score of 9.0 and publicly available exploits, this poses an immediate threat to Saudi organizations relying on Exchange for email infrastructure. Rapid patching is essential as the vulnerability requires only authentication, making it exploitable by insider threats or compromised accounts.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 21, 2026 11:16

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability poses critical risk to Saudi banking sector (SAMA-regulated institutions), government agencies (NCA oversight), healthcare providers, and energy sector organizations (ARAMCO, Saudi Aramco subsidiaries). Telecom operators (STC, Mobily, Zain) managing enterprise email systems are particularly vulnerable. The authentication requirement means compromised credentials or insider threats can lead to complete system compromise, data exfiltration, and lateral movement across critical infrastructure.

🏢 القطاعات السعودية المتأثرة

Banking and Financial Services Government and Public Administration Healthcare and Medical Services Energy and Utilities Telecommunications Education Large Enterprises

🎯 تقنيات MITRE ATT&CK

T1059.001 - Command and Scripting Interpreter: PowerShell T1059.006 - Command and Scripting Interpreter: Python T1190 - Exploit Public-Facing Application T1133 - External Remote Services T1078.002 - Valid Accounts: Domain Accounts T1548.004 - Abuse Elevation Control Mechanism: Elevated Execution with Prompt T1021.006 - Remote Services: Windows Remote Management

⚖️ درجة المخاطر السعودية (AI)

9.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all Microsoft Exchange Server instances in your environment and document versions

2. Restrict access to Exchange management interfaces to authorized administrators only

3. Monitor for suspicious PowerShell cmdlet execution and unusual authentication patterns

4. Review recent authentication logs for unauthorized access attempts



PATCHING GUIDANCE:

1. Apply Microsoft security updates immediately (KB5004018 or later for Exchange 2019/2016)

2. Prioritize patching for internet-facing Exchange servers

3. Test patches in non-production environment before deployment

4. Implement staged rollout to minimize business disruption



COMPENSATING CONTROLS (if patching delayed):

1. Implement network segmentation to restrict Exchange access

2. Enforce multi-factor authentication (MFA) for all Exchange users

3. Disable unnecessary Exchange services and cmdlets

4. Deploy Web Application Firewall (WAF) rules to block malicious cmdlet patterns



DETECTION RULES:

1. Monitor for New-MailboxExportRequest and other suspicious cmdlet execution

2. Alert on PowerShell execution with -EncodedCommand parameter

3. Track unusual outbound connections from Exchange processes

4. Monitor for creation of new admin accounts or privilege escalation attempts

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع مثيلات Microsoft Exchange Server في بيئتك وتوثيق الإصدارات

2. تقييد الوصول إلى واجهات إدارة Exchange للمسؤولين المصرحين فقط

3. مراقبة تنفيذ cmdlet PowerShell المريب والأنماط المصادقة غير العادية

4. مراجعة سجلات المصادقة الأخيرة لمحاولات الوصول غير المصرح بها

إرشادات التصحيح:

1. تطبيق تحديثات أمان Microsoft على الفور (KB5004018 أو أحدث لـ Exchange 2019/2016)

2. إعطاء الأولوية لتصحيح خوادم Exchange المواجهة للإنترنت

3. اختبار التصحيحات في بيئة غير الإنتاج قبل النشر

4. تنفيذ النشر المرحلي لتقليل انقطاع الأعمال

الضوابط البديلة (إذا تأخر التصحيح):

1. تنفيذ تقسيم الشبكة لتقييد وصول Exchange

2. فرض المصادقة متعددة العوامل (MFA) لجميع مستخدمي Exchange

3. تعطيل الخدمات والأوامر غير الضرورية في Exchange

4. نشر قواعد جدار حماية تطبيقات الويب (WAF) لحظر أنماط cmdlet الضارة

قواعد الكشف:

1. مراقبة New-MailboxExportRequest وتنفيذ cmdlet المريب الآخر

2. التنبيه على تنفيذ PowerShell باستخدام معامل -EncodedCommand

3. تتبع الاتصالات الخارجية غير العادية من عمليات Exchange

4. مراقبة إنشاء حسابات مسؤول جديدة أو محاولات تصعيد الامتيازات

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.12.2.1 - Change management procedures ECC 2024 A.12.4.1 - Event logging and monitoring ECC 2024 A.12.4.3 - Administrator and operator logs ECC 2024 A.14.2.1 - Secure development policy

🔵 SAMA CSF

ID.AM-2 - Software inventory and management PR.IP-1 - Security patch management DE.CM-1 - Network monitoring and detection RS.MI-2 - Incident response and containment

🟡 ISO 27001:2022

A.12.2.1 - Change management A.12.4.1 - Event logging A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Secure development policy

🟣 PCI DSS v4.0

Requirement 6.2 - Security patches and updates Requirement 10.2 - Logging and monitoring Requirement 11.2 - Vulnerability scanning

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

Microsoft:Exchange

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS93.42%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2021-12-01

تاريخ النشر 2021-11-17

المصدر cisa_kev

المشاهدات 3

🇸🇦 درجة المخاطر السعودية

9.2

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

kev actively-exploited ransomware

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2021-42321

عرّفنا بنفسك

تسجيل الدخول مطلوب