2021年3月3日,锐捷网络安全应急团队追踪到微软于2021年3月2日 针对Exchange服务器发布了多个高危漏洞的风险通告,漏洞编号为CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065,在CVSS中对这些漏洞给出了比较高的评分。威胁行动者利用这些漏洞访问本地Exchange服务器,从而可以访问电子邮件帐户,并允许安装其他恶意软件以促进对受害者环境的长期访问。
对此,锐捷网络安全应急团队建议广大用户及时将Exchange升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
影响版本
Exchange server:2010/2013/2016/2019
Exchange online:不受影响。
漏洞详情
1. CVE-2021-26855: 服务端请求伪造漏洞
Exchange 服务器端请求伪造(SSRF)漏洞,利用此漏洞的攻击者能够发送任意 HTTP 请求并通过 Exchange Server 进行身份验证。
2. CVE-2021-26857: 序列化漏洞
Exchange 反序列化漏洞,该漏洞需要管理员权限,利用此漏洞的攻击者可以在 Exchange 服务器上以 SYSTEM 身份运行代码。
3. CVE-2021-26858: 任意文件写入漏洞
Exchange 中身份验证后的任意文件写入漏洞。攻击者通过 Exchange 服务器进 行身份验证后,可以利用此漏洞将文件写入服务器上的任何路径。该漏洞可以 配合 CVE-2021-26855 SSRF 漏洞进行组合攻击。
4. CVE-2021-27065: 任意文件写入漏洞
Exchange 中身份验证后的任意文件写入漏洞。攻击者通过 Exchange 服务器进 行身份验证后,可以利用此漏洞将文件写入服务器上的任何路径。该漏洞可以 配合 CVE-2021-26855 SSRF 漏洞进行组合攻击。
安全建议
微软已发布相关安全更新,用户可跟进以下链接进行升级:
CVE-2021-26855: https://msrc.microsoft.com/update-guide/vulnerability/CVE2021-26855
CVE-2021-26857: https://msrc.microsoft.com/update-guide/vulnerability/CVE2021-26857
CVE-2021-26858: https://msrc.microsoft.com/update-guide/vulnerability/CVE2021-26858
CVE-2021-27065: https://msrc.microsoft.com/update-guide/vulnerability/CVE2021-27065
攻击检测建议
01
CVE-2021-26855
可以通过以下Exchange HttpProxy日志进行检测:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
可以通过在日志条目中搜索AuthenticatedUser是否为空并且AnchorMailbox是否包含ServerInfo〜* / *模式识别漏洞利用。以下Powershell可直接进行日志检测,并检查是否受到攻击:
Import-Csv-Path(Get-ChildItem-Recurse-Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy”- Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox
如果检测到了入侵,可以通过检测AnchorMailbox路径中指定特定应用程序的日志来获取攻击者采取了哪些活动:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging
02
CVE-2021-26858:
通过Exchange日志文件检测CVE-2021-26858利用:
日志目录:
C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog
可通过以下命令进行快速浏览,并检查是否受到攻击:
findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”
03
CVE-2021-26857
通过Windows应用程序事件日志检测CVE-2021-26857利用,利用此反序列化错误将创建具有以下属性的应用程序事件:
来源:MSExchange统一消息
EntryType:错误
事件消息包含:System.InvalidCastExceptio
该漏洞单独利用难度稍高,可利用以下命令在应用程序事件日志中查询这些日志条目,并检查是否受到攻击。
Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }
04
CVE-2021-27065:
通过以下Exchange日志文件检测CVE-2021-27065利用,
C:\ Program Files \ Microsoft \ Exchange Server \ V15 \ Logging \ ECP \ Server
所有Set- <AppName> VirtualDirectory属性都不应包含脚本。InternalUrl和ExternalUrl应该仅是有效Uris。
通过powershell命令进行日志检测,并检查是否遭到攻击:
Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’
安全防护缓解
攻击者利用上述漏洞可以进行webshell、恶意文件上传以及恶意网络通信行为。为缓解攻击者利用这些漏洞进行后续的攻击行动,建议客户及时采用安全网关产品进行及时的攻击防护与缓解。
产品 | 说明 |
RG-APT高级威胁检测系统 | 锐捷高级威胁检测系统(RG-APT)基于“文件+流量”双维度分析架构。通过独有的八大核心引擎,综合威胁情报、行为模型、机器学习、虚拟化沙箱和安全特征库等检测技术覆盖式发现高级未知威胁。 |
RG-WALL系列下一代防火墙 | 下一代防火墙结合防病毒以及威胁情报检测。检测主流僵木蠕,apt样本。 |
RG-BDS-TSP | 锐捷NFA探针系统,结合最新的威胁情报,实时鉴别网络中传输文件,判断潜在病毒。 |
团队介绍
锐捷网络CERT安全应急响应团队,跟踪最新互联网威胁事件,针对最新安全漏洞,APT攻击以及僵尸网络家族做实时跟踪和分析;为产品、客户提供实时、有效的安全防护策略与解决方案。
锐捷“网络+安全”主张将网络设备的安全能力充分发挥,网络设备、安全设备与安全平台智能联动,告别安全孤岛,构成整网联动的安全保障体系,实现防护、安全预测、分析和响应等安全问题自动化全流程闭环。
如您需要锐捷安全,请留下您的联系方式
相关阅读
漏洞应急|Oracle Weblogic Server远程代码执行漏洞(CVE-2021-2109)
安全应急|小心一个链接让你的系统蓝屏!|小心一个链接让你的系统蓝屏!
安全应急:卷土重来!incaseformat蠕虫病毒深度潜伏,瞬时爆发
安全研究:incaseformat病毒再次爆发时间预警
视频)" tab="innerlink" data-linktype="2" hasload="1" rel="nofollow">安全问题溯源分析,到底有多简单?!(含视频)
交换机做东西向安全监管:这一次,领导一定会爱我!" tab="innerlink" data-linktype="2" hasload="1" style="-webkit-tap-highlight-color: rgba(0, 0, 0, 0);cursor: pointer;max-width: 100%;font-size: 14px;box-sizing: border-box !important;overflow-wrap: break-word !important;" rel="nofollow">复用交换机做东西向安全监管:这一次,领导一定会爱我!
锐捷安全斩获2020政府信息化产品技术创新奖 赋能安全防护体系获认可
锐捷网络2020年安全产品战略发布会成功召开:网络+安全,网络更安全