漏洞情报｜微软Exchange多个高危漏洞风险通告

近日，腾讯云安全运营中心监测到，微软发布了Exchange多个高危漏洞的风险通告，涉及漏洞编号为CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065，可造成SSRF、任意文件写、代码执行等后果。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

在此次公告中披露了以下漏洞：

CVE-2021-26855：

为Exchange中的一个服务器端请求伪造（SSRF）漏洞，它使攻击者能够发送任意HTTP请求并通过Exchange Server的身份验证。

CVE-2021-26857：

为统一消息服务中的反序列化漏洞。不安全的反序列化是不可信的用户可控制数据被程序反序列化的地方。利用此漏洞，攻击者可以在Exchange服务器上以SYSTEM身份运行代码。这需要管理员权限或组合利用其他漏洞。

CVE-2021-26858及CVE-2021-27065：

为Exchange中身份验证后的任意文件写入漏洞。如果攻击者可以通过Exchange服务器的身份验证，则他们可以使用此漏洞将文件写入服务器上的任何路径。（比如：攻击者可以通过利用CVE-2021-26855 SSRF漏洞或通过破坏合法管理员的凭据来进行身份验证。）

风险等级

高风险

影响版本

Microsoft Exchange Server 2013；

Microsoft Exchange Server 2016；

Microsoft Exchange Server 2019；

修复建议

微软官方已发布漏洞修复更新及修复指导，请及时参照官网指导进行修复：

CVE-2021-26855:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26857:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

CVE-2021-26858:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

CVE-2021-27065:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

临时缓解措施

每个单独漏洞都是攻击链的一部分。由于初始攻击需要具有与Exchange服务器端口443的不受信任的连接的能力。可以通过限制不受信任的连接，或者通过设置VPN来将Exchange服务器与外部访问分开来防止这种攻击。使用此缓解措施仅能防御攻击的初始部分。如果攻击者已经具有访问权限或欺骗管理员打开恶意文件，则可以触发攻击链的其他部分。

检测“是否受到攻击”

1.可以通过以下Exchange HttpProxy日志检测CVE-2021-26855利用：

这些日志位于以下目录中：%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

可以通过在AuthenticatedUser为空并且AnchorMailbox包含ServerInfo〜*/* 模式的日志条目中进行搜索来识别漏洞利用

或者可通过类似以下PowerShell命令来查找这些日志条目：

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object {  $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

如果检测到相关活动，则可以使用AnchorMailbox路径中指定的特定于应用程序的日志来帮助确定采取了哪些操作。

这些日志位于%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging目录中。

2.可以通过Exchange日志文件检测CVE-2021-26858利用：

这些日志位于以下目录中：C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog

文件应仅下载到%PROGRAMFILES%\Microsoft\Exchange Server\V15\ClientAccess\OAB\Temp 目录

如果被利用，文件将下载到其他目录（UNC或本地路径）

可通过Windows命令搜索潜在的利用活动：

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”

3.可以通过Windows应用程序事件日志检测CVE-2021-26857利用

利用此反序列化漏洞将创建具有以下属性的应用程序事件：

Source: MSExchange Unified Messaging

EntryType: Error

Event Message Contains: System.InvalidCastException

或者可通过类似以下PowerShell命令，在应用程序事件日志中查询这些日志条目：

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

4.可以通过以下Exchange日志文件检测CVE-2021-27065利用：

这些日志位于以下目录中：C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server

所有Set-<AppName>VirtualDirectory属性都不应包含script。InternalUrl和ExternalUrl应该仅是有效的uri

或者可通过类似以下PowerShell命令以搜索潜在的利用：

Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’

漏洞参考

官方安全公告：

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

更多精彩内容点击下方扫码关注哦~

   云鼎实验室视频号

  一分钟走进趣味科技

     -扫码关注我们-

 云鼎实验室互动星球

 一个多元的科技社交圈

  -扫码关注我们-

关注云鼎实验室，获取更多安全情报