【漏洞通告】微软Exchange Server多个高危漏洞

  • A+
所属分类:安全漏洞

漏洞名称微软Exchange Server多个高危漏洞

组件名称 : Exchange Server

威胁等级 :

影响范围 Exchange Server 2013

Exchange Server 2016

Exchange Server 2019

漏洞类型 远程代码执行

利用条件 : 1、用户认证:不需要用户认证

2、触发方式:远程

造成后果 : 攻击者可以利用该漏洞的组合绕过身份验证执行任意代码。


漏洞分析


组件介绍

Microsoft Exchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序,它可以被用来构架应用于企业、学校的邮件系统或免费邮件系统。并提供邮件存取、储存、转发,语音邮件、邮件过滤筛选等功能,适合有各种协作需求的用户使用。


2 漏洞描述

近日,深信服安全团队监测到微软官方发布了一则漏洞安全通告,通告披露了Exchange Server组件存在多个漏洞,漏洞编号:

CVE-2021-26855/26857/26858/27065。


CVE-2021-26855: SSRF漏洞

Exchange Server服务器端请求伪造(SSRF)漏洞,利用此漏洞的攻击者能够发送任意HTTP请求并通过Exchange Server进行身份验证。


CVE-2021-26857: 反序列化漏洞

Exchange Server反序列化漏洞,该漏洞需要管理员权限,利用此漏洞的攻击者可以在Exchange服务器上以SYSTEM身份运行代码。


CVE-2021-26858/CVE-2021-27065: 任意文件写入漏洞

Exchange Server中身份验证后的任意文件写入漏洞。攻击者通过Exchange Server服务器进行身份验证后,可以利用此漏洞将文件写入服务器上的任何路径。同时,通过配合利用CVE-2021-26855 SSRF漏洞可以绕过身份验证。


影响范围


Exchange Server可以运行在几乎所有计算机平台上,由于其跨平台和安全性被广泛使用,成为最流行的邮件服务器端软件之一。全球有数千万邮件服务器采用Exchange Server,可能受漏洞影响的资产广泛分布于世界各地,中国大陆省份中,浙江、广东、山东、北京、上海等省市接近 70%,今年曝出的漏洞为高危漏洞,需要引起用户的高度重视


目前受影响的Exchange Server版本:

Exchange Server 2013

Exchange Server 2016

Exchange Server 2019


解决方案


如何检测组件系统版本

首先打开Exchange Management Shell

然后再命令行中输入

Get-ExchangeServer | fl admindisplayversion
【漏洞通告】微软Exchange Server多个高危漏洞


2 官方修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065


安全更新可用于以下特定版本的Exchange:

Exchange Server 2010(Service Pack 3的RU 31 –这是深度防御更新)

Exchange Server 2013(CU 23)

Exchange Server 2016(CU 19,CU 18)

Exchange Server 2019(CU 8,CU 7)

如果Exchange Server不在此版本上建议升级至以上版本进行安全更新。


3 临时修复建议

CVE-2021-26855:

可以通过以下Exchange HttpProxy日志进行检测:

%PROGRAMFILES%MicrosoftExchange ServerV15LoggingHttpProxy

可以通过在AuthenticatedUser为空并且AnchorMailbox包含ServerInfo〜* / *模式的日志条目中进行搜索来识别漏洞利用,也可以通过以下PowerShell命令来查找这些日志条目:

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingHttpProxy” -Filter ‘*.log’).FullName | Where-Object {  $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

如果检测到了入侵,可以通过以下目录获取攻击者采取了哪些活动

%PROGRAMFILES%MicrosoftExchange ServerV15Logging


CVE-2021-26858:

可以通过日志文件查看相关信息

C:Program FilesMicrosoftExchange ServerV15LoggingOABGeneratorLog

文件应仅下载到

%PROGRAMFILES%MicrosoftExchange ServerV15ClientAccessOABTemp目录,如果被利用,文件将下载到其他目录(UNC或本地路径),可以通过以下命令搜索可能的漏洞利用。

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%MicrosoftExchange ServerV15LoggingOABGeneratorLog*.log


CVE-2021-26857:

可利用以下命令检测日志条目,并检查是否受到攻击。

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

利用该漏洞将创建具有以下属性的应用程序事件:

Source: MSExchange Unified MessagingEntryType: ErrorEvent Message Contains: System.InvalidCastException


CVE-2021-27065:

通过以下powershell命令进行日志检测,并检查是否遭到攻击:

Select-String -Path “$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingECPServer*.log” -Pattern ‘Set-.+VirtualDirectory’


深信服解决方案

深信服下一代防火墙】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。

深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。

深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初,云端安全专家即对客户的网络环境进行漏洞扫描,保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。


时间轴


2021/3/2  微软官方发布安全公告。

2021/3/3  深信服千里目安全实验室发布漏洞通告。



点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【漏洞通告】微软Exchange Server多个高危漏洞


深信服千里目安全实验室

【漏洞通告】微软Exchange Server多个高危漏洞

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们



本文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】微软Exchange Server多个高危漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: