微软紧急发布了4个Exchange电子邮件服务组件高危 0day 漏洞。
目前Exchange 高危的 0day 漏洞(CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065)部分细节已经公开,不排除高危漏洞的攻击利用 POC 公布从而爆发大面积的攻击利用。建议及时升级到Exchange的最新版本,漏洞影响Exchange的 2010/2013/2016/2019。
漏洞详情
1、CVE-2021-26855 Exchange 请求伪造(SSRF)漏洞
Exchange 中的一个服务器端请求伪造(SSRF)漏洞,它使攻击者能够发送任意 HTTP 请求并通过 Exchange Server 进行身份验证。
2、CVE-2021-26857 Exchange 反序列化漏洞
统一消息服务中的反序列化漏洞。不安全的反序列化漏洞可以使不可信的用户可控制数据被程序进行反序列化利用。利用此漏洞攻击者可以在 Exchange 服务器上以 SYSTEM 身份运行任意代码。
3、CVE-2021-26858 Exchange 任意文件写入漏洞
Exchange 中身份验证后的任意文件写入漏洞。攻击者可以通过 Exchange 服务器进行身份验证,同时可以利用漏洞将文件写入服务器上的任何路径。也可以通过利用 CVE-2021-26855 SSRF 漏洞或通过破坏合法管理员的凭据来进行身份验证。
4、CVE-2021-27065 Exchange 任意文件写入漏洞
Exchange 中身份验证后的任意文件写入漏洞。攻击者可以通过 Exchange 服务器进行身份验证,同时可以利用漏洞将文件写入服务器上的任何路径。也可以通过利用 CVE-2021-26855 SSRF 漏洞或通过破坏合法管理员的凭据来进行身份验证。
影响版本
Exchange 的 2010/2013/2016/2019
解决方案
1、升级 Exchange 的版本到最新
2、进行 Exchange 服务器的安全检查
安全检查
1、检查下列可疑文件
(1)下列的目录是否有可疑的 WebShell 文件
![](/__local/3/C7/AF/4DE0E94B2F5D9CB5B8237F09F5D_56BE0C47_52CD.jpeg)
可疑文件名有下列列表,并且包含明显的一句话木马或 WebShell 大马的 asp/aspx 的特征。
![](/__local/8/30/B8/FD13C3BA00717A0C79CAD20D51B_494C6212_117B5.jpeg)
(2)下列目录是否有疑似泄露的数据打包压缩包文件
![](/__local/8/81/34/242E7353A80FC21B9AC3DADA679_33CF57EC_116F.jpeg)
(路径来自黑客的活动细节的过程目录)或者其它的磁盘目录的(zip/7z/rar 文件排查)
(3)下列目录是否有疑似通过 LSASS 转存的可疑文件
![](/__local/8/72/9C/F2190A9296DDE9CD8AC58298D37_380283E2_14CC.jpeg)
路径来自黑客的活动细节的过程目录
2、安全日志检查
(1)CVE-2021-26855:
可以通过以下 Exchange HttpProxy 日志进行检测:
![](/__local/5/78/94/45CC4F0CEEE2D15B6E7440B760B_3CA0CEC6_230C.jpeg)
通过以下 Powershell 可直接进行日志检测,并检查是否受到攻击:
![](/__local/7/15/D8/5C3C1F664CEE5B51461800C5279_48115277_6589.jpeg)
如果检测到了入侵,可以通过以下目录获取攻击者采取了哪些活动
![](/__local/A/52/BE/140993DCEC9DD0510C9C032A865_81F08D52_1F3D.jpeg)
(2)CVE-2021-26858:
日志目录:
![](/__local/C/DE/00/1C61BE8180D01E21ABEAC5B47CB_51723C92_24C4.jpeg)
可通过以下命令进行快速浏览,并检查是否受到攻击:
![](/__local/1/8A/6B/4C8C81481F56CF2A42E38BA2DBC_D657979E_3ADE.jpeg)
(3)CVE-2021-26857:
该漏洞单独利用难度稍高,可利用以下命令检测日志条目,并检查是否受到 攻击。
![](/__local/0/1B/22/19BA566899213A6F07014F9F094_5861BB64_41CF.jpeg)
(4)CVE-2021-27065:
通过以下 powershell 命令进行日志检测,并检查是否遭到攻击:
(5)其它攻击程序日志检查:
在 Windows 事件记录中寻找 Nishang Invoke-PowerShellTcpOneLine:
![](/__local/A/FF/73/5A729818A828481E814D37D92D5_35E4C8B3_466F.jpeg)
在 Windows 事件日志中查找 cmd 中 PowerCat 的下载和 Windows 事件日志中 的 Powershell 命令行日志:
![](/__local/D/2B/6A/3FD344F8D673A910771F34C8871_AB1A6093_529C.jpeg)
查找正在加载的 Exchange PowerShell Snapin。这可用于导出邮箱数据,应检查后续命令行以验证用法:
![](/__local/5/91/C8/D4897787291AF47ECE4444B2CC2_47E9EE5E_1BEB2.jpeg)
参考链接:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targetingexchange-servers/
https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nationstate-cyberattacks/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855