鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

Microsoft Exchange 3月多个清静误差

宣布时间 2021-03-03

0x00 误差概述

2021年03月02日，，，，，，Microsoft宣布关于Exchange的清静更新，，，，，，修复了Exchange中的多个清静误差。。。。攻击者可以通过向目的Exchange Server发送恶意数据包来使用这些误差，，，，，，最终可以在目的系统上执行恣意代码，，，，，，而无需用户交互。。。。

0x01 误差详情

本次修复的Exchange误差如下：

CVE ID	评分	影响	是否已被使用
CVE-2021-26855	9.1	攻击者能够发送恣意HTTP请求并通过Exchange Server举行身份验证。。。。	是
CVE-2021-26857	7.8	攻击者可以在Exchange Server上以SYSTEM权限运行代码。。。。（需治理员权限）	是
CVE-2021-26858	7.8	Exchange中保存验证后的恣意文件写入误差。。。。通过验证的攻击者可以使用此误差将文件写入效劳器的任何路径中。。。。同时，，，，，，通过配合使用CVE-2021-26855 SSRF误差可以破损治理员的凭证来举行身份验证。。。。	是
CVE-2021-27065	7.8		是
CVE-2021-26412	9.1	RCE	否
CVE-2021-26854	6.6	RCE	否
CVE-2021-27078	9.1	RCE	否

其中，，，，，，CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065误差被作为攻击链的一部分。。。。初始攻击需要与Exchange Server 443端口建设毗连，，，，，，可以通过限制非信任的毗连，，，，，，或设置VPN将Exchange Server与外部会见脱离来避免初始攻击，，，，，，但若是攻击者已经有了会见权限，，，，，，或者可以以治理员权限运行恶意文件，，，，，，则可以触发攻击链的其它部分。。。。

影响规模

Exchange Server 2010

Exchange Server 2013

Exchange Server 2016

Exchange Server 2019

0x02 处置惩罚建议

现在Microsoft已宣布相关清静更新，，，，，，鉴于误差的严重性，，，，，，建议尽快升级修补：

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

暂时步伐

CVE-2021-26855

可以通过以下Exchange HttpProxy日志举行检测：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

通过以下Powershell可直接举行日志检测，，，，，，并检查是否受到攻击：

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

若是检测到入侵，，，，，，可以通过以下目录获取攻击者接纳了哪些活动：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

CVE-2021-26857

该误差单独使用难度较高，，，，，，可使用以下下令检测日志条目，，，，，，并检查是否受到攻击。。。。

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

CVE-2021-26858

日志目录：

C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog

可通过以下下令举行快速浏览，，，，，，并检查是否受到攻击：

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”

CVE-2021-27065

可通过以下powershell下令举行日志检测，，，，，，并检查是否遭到攻击:

Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’

0x03 参考链接

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

0x04 时间线

2021-03-02 MSRC宣布清静通告

2021-03-03 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】