2021年3月3日，銳捷網(wǎng)絡(luò)安全應(yīng)急團(tuán)隊(duì)追蹤到微軟于2021年3月2日 針對(duì)Exchange服務(wù)器發(fā)布了多個(gè)高危漏洞的風(fēng)險(xiǎn)通告，漏洞編號(hào)為CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065，在CVSS中對(duì)這些漏洞給出了比較高的評(píng)分。威脅行動(dòng)者利用這些漏洞訪問(wèn)本地Exchange服務(wù)器，從而可以訪問(wèn)電子郵件帳戶，并允許安裝其他惡意軟件以促進(jìn)對(duì)受害者環(huán)境的長(zhǎng)期訪問(wèn)。

對(duì)此，銳捷網(wǎng)絡(luò)安全應(yīng)急團(tuán)隊(duì)建議廣大用戶及時(shí)將Exchange升級(jí)到最新版本。與此同時(shí)，請(qǐng)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

影響版本

Exchange server：2010/2013/2016/2019
Exchange online：不受影響。

漏洞詳情

1.    CVE-2021-26855: 服務(wù)端請(qǐng)求偽造漏洞

Exchange 服務(wù)器端請(qǐng)求偽造（SSRF）漏洞，利用此漏洞的攻擊者能夠發(fā)送任意 HTTP 請(qǐng)求并通過(guò) Exchange Server 進(jìn)行身份驗(yàn)證。

2.   CVE-2021-26857: 序列化漏洞

Exchange 反序列化漏洞，該漏洞需要管理員權(quán)限，利用此漏洞的攻擊者可以在 Exchange 服務(wù)器上以 SYSTEM 身份運(yùn)行代碼。

3.   CVE-2021-26858: 任意文件寫入漏洞

Exchange 中身份驗(yàn)證后的任意文件寫入漏洞。攻擊者通過(guò) Exchange 服務(wù)器進(jìn) 行身份驗(yàn)證后，可以利用此漏洞將文件寫入服務(wù)器上的任何路徑。該漏洞可以 配合 CVE-2021-26855 SSRF 漏洞進(jìn)行組合攻擊。

4.   CVE-2021-27065: 任意文件寫入漏洞

Exchange 中身份驗(yàn)證后的任意文件寫入漏洞。攻擊者通過(guò) Exchange 服務(wù)器進(jìn) 行身份驗(yàn)證后，可以利用此漏洞將文件寫入服務(wù)器上的任何路徑。該漏洞可以 配合 CVE-2021-26855 SSRF 漏洞進(jìn)行組合攻擊。

安全建議

微軟已發(fā)布相關(guān)安全更新，用戶可跟進(jìn)以下鏈接進(jìn)行升級(jí):

CVE-2021-26855: https://msrc.microsoft.com/update-guide/vulnerability/CVE2021-26855

CVE-2021-26857: https://msrc.microsoft.com/update-guide/vulnerability/CVE2021-26857
CVE-2021-26858: https://msrc.microsoft.com/update-guide/vulnerability/CVE2021-26858
CVE-2021-27065: https://msrc.microsoft.com/update-guide/vulnerability/CVE2021-27065

攻擊檢測(cè)建議

01 CVE-2021-26855

可以通過(guò)以下Exchange HttpProxy日志進(jìn)行檢測(cè)：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

可以通過(guò)在日志條目中搜索AuthenticatedUser是否為空并且AnchorMailbox是否包含ServerInfo?* / *模式識(shí)別漏洞利用。以下Powershell可直接進(jìn)行日志檢測(cè)，并檢查是否受到攻擊：

Import-Csv-Path(Get-ChildItem-Recurse-Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy”- Filter ‘*.log’).FullName | Where-Object {  $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

如果檢測(cè)到了入侵，可以通過(guò)檢測(cè)AnchorMailbox路徑中指定特定應(yīng)用程序的日志來(lái)獲取攻擊者采取了哪些活動(dòng)：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

02 CVE-2021-26858

通過(guò)Exchange日志文件檢測(cè)CVE-2021-26858利用：

日志目錄：
C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog

可通過(guò)以下命令進(jìn)行快速瀏覽，并檢查是否受到攻擊：

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”

03 CVE-2021-26857

通過(guò)Windows應(yīng)用程序事件日志檢測(cè)CVE-2021-26857利用，利用此反序列化錯(cuò)誤將創(chuàng)建具有以下屬性的應(yīng)用程序事件：

來(lái)源：MSExchange統(tǒng)一消息
EntryType：錯(cuò)誤
事件消息包含：System.InvalidCastExceptio

該漏洞單獨(dú)利用難度稍高，可利用以下命令在應(yīng)用程序事件日志中查詢這些日志條目，并檢查是否受到攻擊。

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

04 CVE-2021-27065

通過(guò)以下Exchange日志文件檢測(cè)CVE-2021-27065利用，

C：\ Program Files \ Microsoft \ Exchange Server \ V15 \ Logging \ ECP \ Server

所有Set- <AppName> VirtualDirectory屬性都不應(yīng)包含腳本。InternalUrl和ExternalUrl應(yīng)該僅是有效Uris。

通過(guò)powershell命令進(jìn)行日志檢測(cè)，并檢查是否遭到攻擊:

Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’

安全防護(hù)緩解

攻擊者利用上述漏洞可以進(jìn)行webshell、惡意文件上傳以及惡意網(wǎng)絡(luò)通信行為。為緩解攻擊者利用這些漏洞進(jìn)行后續(xù)的攻擊行動(dòng)，建議客戶及時(shí)采用安全網(wǎng)關(guān)產(chǎn)品進(jìn)行及時(shí)的攻擊防護(hù)與緩解。

團(tuán)隊(duì)介紹

銳捷網(wǎng)絡(luò)CERT安全應(yīng)急響應(yīng)團(tuán)隊(duì)，跟蹤最新互聯(lián)網(wǎng)威脅事件，針對(duì)最新安全漏洞，APT攻擊以及僵尸網(wǎng)絡(luò)家族做實(shí)時(shí)跟蹤和分析；為產(chǎn)品、客戶提供實(shí)時(shí)、有效的安全防護(hù)策略與解決方案。

銳捷“網(wǎng)絡(luò)+安全”主張將網(wǎng)絡(luò)設(shè)備的安全能力充分發(fā)揮，網(wǎng)絡(luò)設(shè)備、安全設(shè)備與安全平臺(tái)智能聯(lián)動(dòng)，告別安全孤島，構(gòu)成整網(wǎng)聯(lián)動(dòng)的安全保障體系，實(shí)現(xiàn)防護(hù)、安全預(yù)測(cè)、分析和響應(yīng)等安全問(wèn)題自動(dòng)化全流程閉環(huán)。

?如您需要銳捷安全，請(qǐng)留下您的聯(lián)系方式