Microsoft Exchange 3月多个安全漏洞
发布时间 2021-03-030x00 漏洞概述
2021年03月02日,Microsoft发布关于Exchange的安全更新,修复了Exchange中的多个安全漏洞。攻击者可以通过向目标Exchange Server发送恶意数据包来利用这些漏洞,最终可以在目标系统上执行任意代码,而无需用户交互。
0x01 漏洞详情
本次修复的Exchange漏洞如下:
CVE ID | 评分 | 影响 | 是否已被利用 |
CVE-2021-26855 | 9.1 | 攻击者能够发送任意HTTP请求并通过Exchange Server进行身份验证。 | 是 |
CVE-2021-26857 | 7.8 | 攻击者可以在Exchange Server上以SYSTEM权限运行代码。(需管理员权限) | 是 |
CVE-2021-26858 | 7.8 | Exchange中存在验证后的任意文件写入漏洞。通过验证的攻击者可以利用此漏洞将文件写入服务器的任何路径中。同时,通过配合利用CVE-2021-26855 SSRF漏洞可以破坏管理员的凭据来进行身份验证。 | 是 |
CVE-2021-27065 | 7.8 | ||
CVE-2021-26412 | 9.1 | RCE | 否 |
CVE-2021-26854 | 6.6 | RCE | 否 |
CVE-2021-27078 | 9.1 | RCE | 否 |
其中,CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065漏洞被作为攻击链的一部分。初始攻击需要与Exchange Server 443端口建立连接,可以通过限制非信任的连接,或设置VPN将Exchange Server与外部访问分开来防止初始攻击,但如果攻击者已经有了访问权限,或者可以以管理员权限运行恶意文件,则可以触发攻击链的其它部分。
影响范围
Exchange Server 2010
Exchange Server 2013
Exchange Server 2016
Exchange Server 2019
0x02 处置建议
目前Microsoft已发布相关安全更新,鉴于漏洞的严重性,建议尽快升级修补:
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
临时措施
CVE-2021-26855
可以通过以下Exchange HttpProxy日志进行检测:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
通过以下Powershell可直接进行日志检测,并检查是否受到攻击:
Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox
如果检测到入侵,可以通过以下目录获取攻击者采取了哪些活动:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging
CVE-2021-26857
该漏洞单独利用难度较高,可利用以下命令检测日志条目,并检查是否受到攻击。
Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }
CVE-2021-26858
日志目录:
C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog
可通过以下命令进行快速浏览,并检查是否受到攻击:
findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”
CVE-2021-27065
可通过以下powershell命令进行日志检测,并检查是否遭到攻击:
Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’
0x03 参考链接
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
0x04 时间线
2021-03-02 MSRC发布安全公告
2021-03-03 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/
京公网安备11010802024551号