GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

Microsoft Exchange 3月多个安全缝隙

颁布功夫 2021-03-03

0x00 缝隙概述

2021年03月02日，Microsoft颁布关于Exchange的安全更新，建复了Exchange中的多个安全缝隙。攻击者能够通过向指标Exchange Server发送恶意数据包来利用这些缝隙，最终能够在指标系统上执行肆意代码，而无需用户交互。

0x01 缝隙详情

本次建复的Exchange缝隙如下：

CVE ID	评分	影响	是否已被利用
CVE-2021-26855	9.1	攻击者可能发送肆意HTTP要求并通过Exchange Server进行身份验证。	是
CVE-2021-26857	7.8	攻击者能够在Exchange Server上以SYSTEM权限运行代码。（需治理员权限）	是
CVE-2021-26858	7.8	Exchange中存在验证后的肆意文件写入缝隙。通过验证的攻击者能够利用此缝隙将文件写入服务器的任何蹊径中。同时，通过共同利用CVE-2021-26855 SSRF缝隙能够粉碎治理员的痛处来进行身份验证。	是
CVE-2021-27065	7.8		是
CVE-2021-26412	9.1	RCE	否
CVE-2021-26854	6.6	RCE	否
CVE-2021-27078	9.1	RCE	否

其中，CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065缝隙被作为攻击链的一部门。初始攻击必要与Exchange Server 443端口成立衔接，能够通过限度非信赖的衔接，或设置VPN将Exchange Server与表部接见分隔来预防初始攻击，但若是攻击者已经有了接见权限，或者能够以治理员权限运行恶意文件，则能够触发攻击链的其它部门。

影响领域

Exchange Server 2010

Exchange Server 2013

Exchange Server 2016

Exchange Server 2019

0x02 措置建议

目前Microsoft已颁布有关安全更新，鉴于缝隙的严沉性，建议尽快升级建补：

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

一时措施

CVE-2021-26855

能够通过以下Exchange HttpProxy日志进行检测：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

通过以下Powershell可直接进行日志检测，并查抄是否受到攻击：

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

若是检测到入侵，能够通过以下目录获取攻击者采取了哪些活动：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

CVE-2021-26857

该缝隙单独利用难度较高，可利用以下号令检测日志条款，并查抄是否受到攻击。

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

CVE-2021-26858

日志目录：

C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog

可通过以下号令进行急剧浏览，并查抄是否受到攻击：

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”

CVE-2021-27065

可通过以下powershell号令进行日志检测，并查抄是否遭到攻击:

Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’

0x03 参考链接

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

0x04 功夫线

2021-03-02 MSRC颁布安全布告

2021-03-03 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】