2021年3月3日,微軟公司披露Exchange系統(tǒng)存在多個高風險的漏洞,包括:CVE-2021-26855服務端請求偽造漏洞、CVE-2021-26857序列化漏洞、CVE-2021-26858和CVE-2021-27065任意文件寫入漏洞。
建議各用戶做好系統(tǒng)資產(chǎn)安全自查以及防御工作,防止非法入侵事件的發(fā)生。
【漏洞描述】
1. CVE-2021-26855服務端請求偽造漏洞
無需身份驗證,攻擊者可對Exchange Server的發(fā)起任意HTTP請求,從而掃描內(nèi)網(wǎng)并可獲取Exchange用戶信息。
2.CVE-2021-26857反序列化漏洞
在擁有Exchange 管理員權限及利用其他漏洞情況下,攻擊者通過構造惡意請求可觸發(fā)反序列化漏洞,對系統(tǒng)執(zhí)行任意代碼。
3.CVE-2021-26858和CVE-2021-27065任意文件寫入漏洞
擁有Exchange 管理員權限或結(jié)合CVE-2021-26855漏洞,通過構造惡意請求,可對系統(tǒng)寫入任意文件。
【影響版本】
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
【修復方案】
對應的漏洞,微軟已發(fā)布相關安全補丁,各用戶及時進行升級:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
【監(jiān)測防范】
可通過如下監(jiān)測方法,來判斷系統(tǒng)是否受到對應漏洞的惡意攻擊:
1.CVE-2021-26855通過Exchange HttpProxy日志檢測:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
通過PowerShell可直接進行日志檢測以及檢查是否受到攻擊:
Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox
以下目錄可查看攻擊者的具體操作:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging
2. CVE-2021-26857反序列化漏洞
利用以下命令檢測日志信息,判斷是否受到攻擊:
Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }
3.CVE-2021-26858任意文件寫入漏洞日志
目錄如下:
C:\ProgramFiles\Microsoft\ExchangeServer\V15\Logging\OABGeneratorLog
利用以下命令檢測日志信息,判斷是否受到攻擊:
findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”
4. CVE-2021-27065任意文件寫入漏洞
通過PowerShell命令進行日志檢測:
Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Loggin
【參考資料】
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
返回頂部