HAFNIUM针对具有0天漏洞利用的Exchange Server

Microsoft威胁情报中心（MSTIC）

Microsoft 365 Defender威胁情报团队

Microsoft 365安全性

Microsoft已检测到多种零日漏洞，可用于在有限且有针对性的攻击中攻击Microsoft Exchange Server的本地版本。在观察到的攻击中，威胁行动者利用这些漏洞访问了本地Exchange服务器，从而可以访问电子邮件帐户，并允许安装其他恶意软件以促进对受害者环境的长期访问。微软威胁情报中心（MSTIC）将此活动归功于HAFNIUM，该组织根据观察到的受害者，策略和程序被评估为政府资助并在中国以外运营。

最近被利用的漏洞是CVE-2021-26855，CVE-2021-26857，CVE-2021-26858和CVE-2021-27065，所有这些都在今天的Microsoft安全响应中心（MSRC）版本–多个安全更新中得到了解决。为Exchange Server发布。我们强烈敦促客户立即更新本地系统。Exchange Online不受影响。

我们正在与我们的客户和安全社区共享此信息，以强调这些漏洞的关键性质以及立即修补所有受影响的系统以防止受到这些攻击并防止整个生态系统遭受滥用的重要性。该博客还延续了我们的使命，向恶意行为者发光，并提高了对以客户为目标的复杂策略和技术的认识。此博客中共享的相关IOC，Azure Sentinel高级搜寻查询以及 Microsoft Defender for Endpoint产品检测和查询将帮助SOC主动搜寻其环境中的相关活动，并提升所有警报以进行补救。

Microsoft非常感谢Volexity和Dubex的行业同事报告了攻击链的不同部分以及他们在调查中的合作。Volexity还发布了一篇博客文章，并对其进行了分析。正是这种主动的通信和情报共享水平，使社区可以团结起来，在攻击蔓延之前就抢占先机，并提高所有人的安全性。

谁是HAFNIUM？

HAFNIUM主要针对美国多个行业的实体，包括传染病研究人员，律师事务所，高等教育机构，国防承包商，政策智囊团和非政府组织。

HAFNIUM以前通过利用面向Internet的服务器中的漏洞来折衷受害者，并使用合法的开源框架（例如Covenant）进行命令和控制。一旦他们获得了受害者网络的访问权，HAFNIUM通常会将数据渗出到文件共享站点（例如MEGA）。

在与这些漏洞无关的活动中，Microsoft已观察到HAFNIUM与受害者互动 Office 365租户。尽管他们通常无法成功地破坏客户帐户，但这种侦察活动可帮助对手识别有关其目标环境的更多详细信息。

HAFNIUM主要通过美国的租赁虚拟专用服务器（VPS）进行运营。

技术细节

Microsoft提供了以下详细信息，以帮助我们的客户了解HAFNIUM用来利用这些漏洞的技术，并能够更有效地防御将来对未打补丁的系统的任何攻击。

CVE-2021-26855是Exchange中的服务器端请求伪造（SSRF）漏洞，它使攻击者能够发送任意HTTP请求并进行身份验证，成为Exchange服务器。

CVE-2021-26857是统一消息服务中的不安全的反序列化漏洞。不安全的反序列化是不可信的用户可控制数据被程序反序列化的地方。利用此漏洞，HAFNIUM可以在Exchange服务器上以SYSTEM身份运行代码。这需要管理员权限或要利用的另一个漏洞。

CVE-2021-26858是Exchange中身份验证后的任意文件写入漏洞。如果HAFNIUM可以通过Exchange服务器进行身份验证，则他们可以使用此漏洞将文件写入服务器上的任何路径。他们可以通过利用CVE-2021-26855 SSRF漏洞或通过破坏合法管理员的凭据来进行身份验证。

CVE-2021-27065是Exchange中身份验证后的任意文件写入漏洞。如果HAFNIUM可以通过Exchange服务器进行身份验证，则他们可以使用此漏洞将文件写入服务器上的任何路径。他们可以通过利用CVE-2021-26855 SSRF漏洞或通过破坏合法管理员的凭据来进行身份验证。

攻击细节

利用这些漏洞获得初始访问权限后，HAFNIUM操作员在受感染的服务器上部署了Web Shell。Web Shell可能使攻击者能够窃取数据并执行其他恶意操作，从而导致进一步的危害。下面是用ASP编写的HAFNIUM部署的Web Shell的一个示例：

部署Web Shell后，HAFNIUM操作员执行了以下开发后活动：

• 使用Procdump转储LSASS进程内存：

• 使用7-Zip将窃取的数据压缩到ZIP文件中以进行渗透：

• 添加并使用Exchange PowerShell管理单元导出邮箱数据：

• 使用Nishang Invoke-PowerShellTcpOneLine反向外壳：

• 从GitHub下载PowerCat，然后使用它打开与远程服务器的连接：

HAFNIUM运营商还能够从受感染系统下载Exchange脱机通讯簿，其中包含有关组织及其用户的信息。

我们的博客“防御受攻击的Exchange服务器”提供了有关改进针对Exchange服务器入侵的防御的建议。客户还可以在我们的博客中找到有关Web Shell攻击的其他指南。Web Shell攻击继续增加。

我可以确定我是否受到此活动的侵害吗？

以下各节提供了危害指标（IOC），检测指南和高级搜寻查询，以帮助客户使用Exchange服务器日志，Azure Sentinel，Microsoft Defender for Endpoint和 Microsoft 365后卫。我们鼓励客户进行调查并进行主动检测，以识别可能的先前活动，并防止将来可能针对其系统的活动。

检查Exchange Server的补丁程序级别

Microsoft Exchange Server团队已发布有关这些新安全更新的博客文章，该博客文章提供了一个脚本，可快速清点本地Exchange服务器的补丁程序级别状态，并回答有关安装这些补丁程序的一些基本问题。

扫描Exchange日志文件以寻找危害指标

Exchange Server团队创建了一个脚本来运行HAFNIUM IOC的检查，以解决性能和内存问题。该脚本可以在这里找到：

https : //github.com/microsoft/CSS-Exchange/tree/main/Security。

• 可以通过以下Exchange HttpProxy日志检测CVE-2021-26855利用：

1. 这些日志位于以下目录中：％PROGRAMFILES％ Microsoft Exchange Server V15 Logging HttpProxy

2. 可以通过在AuthenticatedUser为空并且AnchorMailbox包含ServerInfo〜* / *模式的日志条目中进行搜索来识别漏洞利用

这是示例PowerShell命令来查找这些日志条目：

Import-Csv -Path (Get-ChildItem -Recurse -Path "$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingHttpProxy" -Filter '*.log').FullName | Where-Object {  $_.AuthenticatedUser -eq '' -and $_.AnchorMailbox -like 'ServerInfo~*/*' } | select DateTime, AnchorMailbox

• 如果检测到活动，则可以使用AnchorMailbox路径中指定的特定于应用程序的日志来帮助确定采取了哪些操作。

• 这些日志位于％PROGRAMFILES％ Microsoft Exchange Server V15 Logging目录中。

可以通过Exchange日志文件检测CVE-2021-26858利用：

C： Program Files  Microsoft  Exchange Server  V15  Logging  OABGeneratorLog

文件应仅下载到％PROGRAMFILES％ Microsoft Exchange Server V15 ClientAccess OAB Temp目录

• 如果被利用，文件将下载到其他目录（UNC或本地路径）

Windows命令搜索潜在的利用：

findstr /snip /c:"Download failed and temporary file" "%PROGRAMFILES%MicrosoftExchange ServerV15LoggingOABGeneratorLog*.log"

可以通过Windows应用程序事件日志检测CVE-2021-26857利用

利用此反序列化错误将创建具有以下属性的应用程序事件：

• 来源：MSExchange统一消息

• EntryType：错误

• 事件消息包含：System.InvalidCastException

以下是PowerShell命令，用于在应用程序事件日志中查询这些日志条目：

Get-EventLog -LogName Application -Source "MSExchange Unified Messaging" -EntryType Error | Where-Object { $_.Message -like "*System.InvalidCastException*" }

可以通过以下Exchange日志文件检测CVE-2021-27065利用：

C： Program Files  Microsoft  Exchange Server  V15  Logging  ECP  Server

所有Set- <AppName> VirtualDirectory属性都不应包含脚本。InternalUrl和ExternalUrl应该仅是有效Uris。

以下是PowerShell命令以搜索潜在的利用：

Select-String -Path "$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingECPServer*.log" -Pattern 'Set-.+VirtualDirectory'

原文链接：

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

原文始发于微信公众号（Ots安全）：HAFNIUM针对具有0天漏洞利用的Exchange Server