微软 Exchange服务器多个高危误差通告

宣布时间：2021-03-04

2021年3月3日，97国际网络清静应急团队追踪到微软于2021年3月2日针对Exchange服务器宣布了多个高危误差的危害通告，误差编号为CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065，在CVSS中对这些误差给出了较量高的评分。威胁行动者使用这些误差会见外地Exchange服务器，从而可以会见电子邮件帐户，并允许装置其他恶意软件以增进对受害者情形的恒久会见。

对此，97国际网络清静应急团队建议宽大用户实时将Exchange升级到最新版本。与此同时，请做好资产自查以及预防事情，以免遭受黑客攻击。

影响版本

Exchange server：2010/2013/2016/2019
Exchange online：不受影响。

误差详情

1. CVE-2021-26855: 服务端请求伪造误差

Exchange 服务器端请求伪造（SSRF）误差，使用此误差的攻击者能够发送恣意 HTTP 请求并通过 Exchange Server 举行身份验证。

2. CVE-2021-26857: 序列化误差

Exchange 反序列化误差，该误差需要管理员权限，使用此误差的攻击者可以在 Exchange 服务器上以 SYSTEM 身份运行代码。

3. CVE-2021-26858: 恣意文件写入误差

Exchange 中身份验证后的恣意文件写入误差。攻击者通过 Exchange 服务器进行身份验证后，可以使用此误差将文件写入服务器上的任何路径。该误差可以配合 CVE-2021-26855 SSRF 误差举行组合攻击。

4. CVE-2021-27065: 恣意文件写入误差

清静建议

微软已宣布相关清静更新，用户可跟进以下链接举行升级:

CVE-2021-26855: https://msrc.microsoft.com/update-guide/vulnerability/CVE2021-26855

CVE-2021-26857: https://msrc.microsoft.com/update-guide/vulnerability/CVE2021-26857
CVE-2021-26858: https://msrc.microsoft.com/update-guide/vulnerability/CVE2021-26858
CVE-2021-27065: https://msrc.microsoft.com/update-guide/vulnerability/CVE2021-27065

攻击检测建议

01 CVE-2021-26855

可以通过以下Exchange HttpProxy日志举行检测：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

可以通过在日志条目中搜索AuthenticatedUser是否为空并且AnchorMailbox是否包括ServerInfo?* / *模式识别误差使用。以下Powershell可直接举行日志检测，并检查是否受到攻击：

Import-Csv-Path(Get-ChildItem-Recurse-Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy”- Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

若是检测到了入侵，可以通过检测AnchorMailbox路径中指定特定应用程序的日志来获取攻击者接纳了哪些运动：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

02 CVE-2021-26858

通过Exchange日志文件检测CVE-2021-26858使用：

日志目录：
C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog

可通过以下下令举行快速浏览，并检查是否受到攻击：

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”

03 CVE-2021-26857

通过Windows应用程序事务日志检测CVE-2021-26857使用，使用此反序列化过失将建设具有以下属性的应用程序事务：

泉源：MSExchange统一新闻
EntryType：过失
事务新闻包括：System.InvalidCastExceptio

该误差单独使用难度稍高，可使用以下下令在应用程序事务日志中盘问这些日志条目，并检查是否受到攻击。

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

04 CVE-2021-27065

通过以下Exchange日志文件检测CVE-2021-27065使用，

C：\ Program Files \ Microsoft \ Exchange Server \ V15 \ Logging \ ECP \ Server

所有Set- <AppName> VirtualDirectory属性都不应包括剧本。InternalUrl和ExternalUrl应该仅是有用Uris。

通过powershell下令举行日志检测，并检查是否遭到攻击:

Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’

清静防护缓解

攻击者使用上述误差可以举行webshell、恶意文件上传以及恶意网络通讯行为。为缓解攻击者使用这些误差举行后续的攻击行动，建议客户实时接纳清静网关产品举行实时的攻击防护与缓解。

产品	说明
RG-APT高级威胁检测系统	97国际高级威胁检测系统（RG-APT）基于“文件+流量”双维度剖析架构。通过独吞的八大焦点引擎，综合威胁情报、行为模子、机械学习、虚拟化沙箱和清静特征库等检测手艺笼罩式发明高级未知威胁.
RG-WALL系列下一代防火墙	下一代防火墙团结防病毒以及威胁情报检测。检测主流僵木蠕，apt样本。
RG-BDS-TSP	97国际NFA探针系统，团结最新的威胁情报，实时判别网络中传输文件，判断潜在病毒。