临时缓解措施:
每个单独漏洞都是攻击链的一部分。由于初始攻击需要具有与Exchange服务器端口443的不受信任的连接的能力。可以通过限制不受信任的连接,或者通过设置VPN来将Exchange服务器与外部访问分开来防止这种攻击。 使用此缓解措施仅能防御攻击的初始部分。 如果攻击者已经具有访问权限或欺骗管理员打开恶意文件,则可以触发攻击链的其他部分。
可通过以下方式来检测是否受到攻击:
1.可以通过以下Exchange HttpProxy日志检测CVE-2021-26855利用:
这些日志位于以下目录中:%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
可以通过在AuthenticatedUser为空并且AnchorMailbox包含ServerInfo〜*/* 模式的日志条目中进行搜索来识别漏洞利用
或者可通过类似以下PowerShell命令来查找这些日志条目:
Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox
如果检测到相关活动,则可以使用AnchorMailbox路径中指定的特定于应用程序的日志来帮助确定采取了哪些操作。
这些日志位于%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging目录中。
2.可以通过Exchange日志文件检测CVE-2021-26858利用:
这些日志位于以下目录中: C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog
文件应仅下载到%PROGRAMFILES%\Microsoft\Exchange Server\V15\ClientAccess\OAB\Temp 目录
如果被利用,文件将下载到其他目录(UNC或本地路径)
可通过Windows命令搜索潜在的利用活动:
findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”
3.可以通过Windows应用程序事件日志检测CVE-2021-26857利用
利用此反序列化漏洞将创建具有以下属性的应用程序事件:
Source: MSExchange Unified Messaging
EntryType: Error
Event Message Contains: System.InvalidCastException
或者可通过类似以下PowerShell命令,在应用程序事件日志中查询这些日志条目:
Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }
4.可以通过以下Exchange日志文件检测CVE-2021-27065利用:
这些日志位于以下目录中: C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server
所有Set-<AppName>VirtualDirectory属性都不应包含script。 InternalUrl和ExternalUrl应该仅是有效的uri
或者可通过类似以下PowerShell命令以搜索潜在的利用:
Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’