報(bào)告編號(hào)：B6-2021-030301

報(bào)告來(lái)源：360CERT

報(bào)告作者：360CERT

更新日期：2021-03-03

0x01事件簡(jiǎn)述

2021年03月03日，360CERT監(jiān)測(cè)發(fā)現(xiàn)微軟發(fā)布了Exchange 多個(gè)高危漏洞的風(fēng)險(xiǎn)通告，該漏洞編號(hào)為CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065，事件等級(jí)：嚴(yán)重，事件評(píng)分：9.8。

對(duì)此，360CERT建議廣大用戶及時(shí)將exchange升級(jí)到最新版本。與此同時(shí)，請(qǐng)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

0x02風(fēng)險(xiǎn)等級(jí)

360CERT對(duì)該事件的評(píng)定結(jié)果如下

評(píng)定方式等級(jí)

威脅等級(jí)	嚴(yán)重
影響面	廣泛
360CERT評(píng)分	9.8

0x03漏洞詳情

CVE-2021-26855: 服務(wù)端請(qǐng)求偽造漏洞

Exchange服務(wù)器端請(qǐng)求偽造（SSRF）漏洞，利用此漏洞的攻擊者能夠發(fā)送任意HTTP請(qǐng)求并通過(guò)Exchange Server進(jìn)行身份驗(yàn)證。

CVE-2021-26857: 序列化漏洞

Exchange反序列化漏洞，該漏洞需要管理員權(quán)限，利用此漏洞的攻擊者可以在Exchange服務(wù)器上以SYSTEM身份運(yùn)行代碼。

CVE-2021-26858/CVE-2021-27065: 任意文件寫入漏洞

Exchange中身份驗(yàn)證后的任意文件寫入漏洞。攻擊者通過(guò)Exchange服務(wù)器進(jìn)行身份驗(yàn)證后，可以利用此漏洞將文件寫入服務(wù)器上的任何路徑。該漏洞可以配合CVE-2021-26855 SSRF漏洞進(jìn)行組合攻擊。

0x04影響版本

- microsoft:exchange: 2013/2016/2019/2010

0x05修復(fù)建議

通用修補(bǔ)建議

微軟已發(fā)布相關(guān)安全更新，用戶可跟進(jìn)以下鏈接進(jìn)行升級(jí):

CVE-2021-26855:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26857:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26858:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-27065:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

臨時(shí)修補(bǔ)建議

CVE-2021-26855：

可以通過(guò)以下Exchange HttpProxy日志進(jìn)行檢測(cè)：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

通過(guò)以下Powershell可直接進(jìn)行日志檢測(cè)，并檢查是否受到攻擊：

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

如果檢測(cè)到了入侵，可以通過(guò)以下目錄獲取攻擊者采取了哪些活動(dòng)

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

CVE-2021-26858：

日志目錄：C:\ProgramFiles\Microsoft\ExchangeServer\V15\Logging\OABGeneratorLog

可通過(guò)以下命令進(jìn)行快速瀏覽，并檢查是否受到攻擊：

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”

CVE-2021-26857：

該漏洞單獨(dú)利用難度稍高，可利用以下命令檢測(cè)日志條目，并檢查是否受到攻擊。

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

CVE-2021-27065:

通過(guò)以下powershell命令進(jìn)行日志檢測(cè)，并檢查是否遭到攻擊:

Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’

0x06時(shí)間線

2021-03-02 微軟發(fā)布漏洞報(bào)告

2021-03-03 360CERT發(fā)布通告

0x07參考鏈接

1、 HAFNIUM targeting Exchange Servers with 0-day exploits

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

0x08特制報(bào)告下載鏈接

一直以來(lái)，360CERT對(duì)全球重要網(wǎng)絡(luò)安全事件進(jìn)行快速通報(bào)、應(yīng)急響應(yīng)。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務(wù)，現(xiàn)360CERT正式推出安全通告特制版報(bào)告，以便用戶做資料留存、傳閱研究與查詢驗(yàn)證。用戶可直接通過(guò)以下鏈接進(jìn)行特制報(bào)告的下載。

微軟Exchange多個(gè)高危漏洞通告

http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】微軟Exchange多個(gè)高危漏洞通告.pdf

若有訂閱意向與定制需求請(qǐng)掃描下方二維碼進(jìn)行信息填寫，或發(fā)送郵件至g-cert-report#360.cn ，并附上您的 公司名、姓名、手機(jī)號(hào)、地區(qū)、郵箱地址。

轉(zhuǎn)載自https://mp.weixin.qq.com/s/4s66qdvVbUEzz-w9RcSUIg

總結(jié)

以上是生活随笔為你收集整理的微软Exchange多个高危漏洞通告的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。