当前位置:首页 > 网络安全 > 安全通告 > 详情
安全风险预警—【重大】微软 Exchange 多个高危漏洞预警
2021年03月03日   
1、基本情况
  近日,监测发现微软发布了 Exchange 多个高危漏洞的风险通告,该漏洞编号为 CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,C
  VE-2021-27065。
  对此,建议广大用户及时将 exchange 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
2、漏洞详情
  CVE-2021-26855: 服务端请求伪造漏洞
  Exchange 服务器端请求伪造(SSRF)漏洞,利用此漏洞的攻击者能够发送任意 HTTP 请求并通过 Exchange Server 进行身份验证。
  CVE-2021-26857: 序列化漏洞
  Exchange 反序列化漏洞,该漏洞需要管理员权限,利用此漏洞的攻击者可以在 Exchange 服务器上以 SYSTEM 身份运行码。
  CVE-2021-26858/CVE-2021-27065: 任意文件写入漏洞
  Exchange 中身份验证后的任意文件写入漏洞。攻击者通过 Exchange 服务器进行身份验证后,可以利用此漏洞将文件写入服务器上的任何路径。该漏洞可以配合 CVE-2021-26855 SSRF 漏洞进行组合攻击。
3、影响范围
  受影响版本
  ⚫ microsoft:exchange: 2013/2016/2019/2010
4、处置建议
  修补建议:
  通用修补建议
  微软已发布相关安全更新,用户可跟进以下链接进行升级:
  CVE-2021-26855: ://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855 https
  CVE-2021-26857: ://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855 https
  CVE-2021-26858: ://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855 https
  CVE-2021-27065: ://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855 https
  临时修补建议
  CVE-2021-26855:
  可以通过以下 Exchange HttpProxy 日志进行检测:
  %PROGRAMFILES%\ Microsoft \ Exchange Server \ V15 \ Logging \ HttpProxy
  通过以下 Powershell 可直接进行日志检测,并检查是否受到攻击:
  Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox
  如果检测到了入侵,可以通过以下目录获取攻击者采取了哪些活动
  %PROGRAMFILES%\ Microsoft \ Exchange Server \ V15 \ Logging
  CVE-2021-26858:
  日志目录:C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog
  可通过以下命令进行快速浏览,并检查是否受到攻击:
  findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\ Microsoft\ ExchangeServer \V15 \Logging\OABGeneratorLog\*.log”
  CVE-2021-26857:
  该漏洞单独利用难度稍高,可利用以下命令检测日志条目,并检查是否受到攻击。
  Get-EventLog -LogName Application -Source “MSExchangeUnified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }
  CVE-2021-27065:
  通过以下 powershell 命令进行日志检测,并检查是否遭到攻击:
  Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’
5、参考链接
  1) https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/