漏洞情报｜微软Exchange多个高危漏洞风险通告

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

CVE-2021-26855：

为Exchange中的一个服务器端请求伪造（SSRF）漏洞，它使攻击者能够发送任意HTTP请求并通过Exchange Server的身份验证。

CVE-2021-26857：

为统一消息服务中的反序列化漏洞。不安全的反序列化是不可信的用户可控制数据被程序反序列化的地方。利用此漏洞，攻击者可以在Exchange服务器上以SYSTEM身份运行代码。这需要管理员权限或组合利用其他漏洞。

CVE-2021-26858及CVE-2021-27065：

为Exchange中身份验证后的任意文件写入漏洞。如果攻击者可以通过Exchange服务器的身份验证，则他们可以使用此漏洞将文件写入服务器上的任何路径。（比如：攻击者可以通过利用CVE-2021-26855 SSRF漏洞或通过破坏合法管理员的凭据来进行身份验证。）

微软官方已发布漏洞修复更新及修复指导，请及时参照官网指导进行修复：

CVE-2021-26855:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26857:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

CVE-2021-26858:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

CVE-2021-27065:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

每个单独漏洞都是攻击链的一部分。由于初始攻击需要具有与Exchange服务器端口443的不受信任的连接的能力。可以通过限制不受信任的连接，或者通过设置VPN来将Exchange服务器与外部访问分开来防止这种攻击。使用此缓解措施仅能防御攻击的初始部分。如果攻击者已经具有访问权限或欺骗管理员打开恶意文件，则可以触发攻击链的其他部分。

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingHttpProxy” -Filter ‘*.log’).FullName | Where-Object {  $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

如果检测到相关活动，则可以使用AnchorMailbox路径中指定的特定于应用程序的日志来帮助确定采取了哪些操作。

这些日志位于%PROGRAMFILES%MicrosoftExchange ServerV15Logging目录中。   

2.可以通过Exchange日志文件检测CVE-2021-26858利用：

这些日志位于以下目录中：C:Program FilesMicrosoftExchange ServerV15LoggingOABGeneratorLog

文件应仅下载到%PROGRAMFILES%MicrosoftExchange ServerV15ClientAccessOABTemp 目录

如果被利用，文件将下载到其他目录（UNC或本地路径）

可通过Windows命令搜索潜在的利用活动：

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%MicrosoftExchange ServerV15LoggingOABGeneratorLog*.log”

3.可以通过Windows应用程序事件日志检测CVE-2021-26857利用

利用此反序列化漏洞将创建具有以下属性的应用程序事件：

Source: MSExchange Unified Messaging

EntryType: Error

Event Message Contains: System.InvalidCastException

或者可通过类似以下PowerShell命令，在应用程序事件日志中查询这些日志条目：

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

4.可以通过以下Exchange日志文件检测CVE-2021-27065利用：

这些日志位于以下目录中：C:Program FilesMicrosoftExchange ServerV15LoggingECPServer

所有Set-<AppName>VirtualDirectory属性都不应包含script。InternalUrl和ExternalUrl应该仅是有效的uri

或者可通过类似以下PowerShell命令以搜索潜在的利用：

Select-String -Path “$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingECPServer*.log” -Pattern ‘Set-.+VirtualDirectory’

官方安全公告：

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

本文作者：YDclub

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/154357.html