首頁 > 安全研究 > 安全通報 > 安全通告

Microsoft Exchange 3月多個安全漏洞

發布時間 2021-03-03

0x00 漏洞概述

2021年03月02日,Microsoft發布關于Exchange的安全更新,修復了Exchange中的多個安全漏洞。攻擊者可以通過向目標Exchange Server發送惡意數據包來利用這些漏洞,最終可以在目標系統上執行任意代碼,而無需用戶交互。


0x01 漏洞詳情

image.png

 

本次修復的Exchange漏洞如下:

CVE ID

評分

影響

是否已被利用

CVE-2021-26855

9.1

攻擊者能夠發送任意HTTP請求并通過Exchange   Server進行身份驗證。

CVE-2021-26857

7.8

攻擊者可以在Exchange Server上以SYSTEM權限運行代碼。(需管理員權限)

CVE-2021-26858

7.8

Exchange中存在驗證后的任意文件寫入漏洞。通過驗證的攻擊者可以利用此漏洞將文件寫入服務器的任何路徑中。同時,通過配合利用CVE-2021-26855 SSRF漏洞可以破壞管理員的憑據來進行身份驗證。

CVE-2021-27065

7.8

CVE-2021-26412

9.1

RCE

CVE-2021-26854

6.6

RCE

CVE-2021-27078

9.1

RCE

 

其中,CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065漏洞被作為攻擊鏈的一部分。初始攻擊需要與Exchange Server 443端口建立連接,可以通過限制非信任的連接,或設置VPN將Exchange Server與外部訪問分開來防止初始攻擊,但如果攻擊者已經有了訪問權限,或者可以以管理員權限運行惡意文件,則可以觸發攻擊鏈的其它部分。

 

影響范圍

Exchange Server 2010

Exchange Server 2013

Exchange Server 2016

Exchange Server 2019

 

0x02 處置建議

目前Microsoft已發布相關安全更新,鑒于漏洞的嚴重性,建議盡快升級修補:

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

 

臨時措施

CVE-2021-26855

可以通過以下Exchange HttpProxy日志進行檢測:

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

通過以下Powershell可直接進行日志檢測,并檢查是否受到攻擊:

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object {  $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

如果檢測到入侵,可以通過以下目錄獲取攻擊者采取了哪些活動:

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

 

CVE-2021-26857

該漏洞單獨利用難度較高,可利用以下命令檢測日志條目,并檢查是否受到攻擊。

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

 

CVE-2021-26858

日志目錄:

C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog

可通過以下命令進行快速瀏覽,并檢查是否受到攻擊:

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”

 

CVE-2021-27065

可通過以下powershell命令進行日志檢測,并檢查是否遭到攻擊:

Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’

 

 

0x03 參考鏈接

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

 

0x04 時間線

2021-03-02  MSRC發布安全公告

2021-03-03  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

上一篇 下一篇