微软Exchange多个高危漏洞通告

2021-03-03 09:06

报告编号：B6-2021-030301

报告来源：360CERT

报告作者：360CERT

更新日期：2021-03-09

0x01事件简述

2021年03月03日，360CERT监测发现微软发布了Exchange 多个高危漏洞的风险通告，该漏洞编号为CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065，事件等级：严重，事件评分：9.8。

对此，360CERT建议广大用户及时将exchange升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

0x02风险等级

360CERT对该事件的评定结果如下

评定方式	等级
威胁等级	严重
影响面	广泛
360CERT评分	9.8

0x03漏洞详情

CVE-2021-26855: 服务端请求伪造漏洞

Exchange服务器端请求伪造（SSRF）漏洞，利用此漏洞的攻击者能够发送任意HTTP请求并通过Exchange Server进行身份验证。

CVE-2021-26857: 序列化漏洞

Exchange反序列化漏洞，该漏洞需要管理员权限，利用此漏洞的攻击者可以在Exchange服务器上以SYSTEM身份运行代码。

CVE-2021-26858/CVE-2021-27065: 任意文件写入漏洞

Exchange中身份验证后的任意文件写入漏洞。攻击者通过Exchange服务器进行身份验证后，可以利用此漏洞将文件写入服务器上的任何路径。该漏洞可以配合CVE-2021-26855 SSRF漏洞进行组合攻击。

0x04影响版本

- microsoft:exchange: 2013/2016/2019/2010

0x05修复建议

通用修补建议

微软已发布相关安全更新，用户可跟进以下链接进行升级:

CVE-2021-26855:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26857:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26858:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-27065:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

临时修补建议

CVE-2021-26855：

可以通过以下Exchange HttpProxy日志进行检测：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

通过以下Powershell可直接进行日志检测，并检查是否受到攻击：

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object {  $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

如果检测到了入侵，可以通过以下目录获取攻击者采取了哪些活动

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

CVE-2021-26858：

日志目录：C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog

可通过以下命令进行快速浏览，并检查是否受到攻击：

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”

CVE-2021-26857：

该漏洞单独利用难度稍高，可利用以下命令检测日志条目，并检查是否受到攻击。

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

CVE-2021-27065:

通过以下powershell命令进行日志检测，并检查是否遭到攻击:

Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’

0x06产品侧解决方案

360AISA全流量威胁分析系统

针对微软本次安全更新，360AISA已基于流量侧提供对应检测能力更新，请AISA用户联系techsupport@360.cn获取更新，尽快升级检测引擎和规则，做好安全防护工作。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

0x07时间线

2021-03-02 微软发布漏洞报告

2021-03-03 360CERT发布通告

0x08参考链接

1、 HAFNIUM targeting Exchange Servers with 0-day exploits

0x09特制报告下载链接

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT正式推出安全通告特制版报告，以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。

微软Exchange多个高危漏洞通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ，并附上您的公司名、姓名、手机号、地区、邮箱地址。