【通告更新】奇安信产品支持防护,Microsoft Exchange多个高危漏洞安全风险通告第二次更新

  • A+
所属分类:安全漏洞
【通告更新】奇安信产品支持防护,Microsoft Exchange多个高危漏洞安全风险通告第二次更新

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信CERT监测到微软修复了Microsoft Exchange多个高危漏洞。通过组合利用这些漏洞能够在未经身份验证的情况下远程获取目标服务器权限。其中包括CVE-2021-26855:服务端请求伪造漏洞、CVE-2021-26857:不安全的反序列化漏洞。CVE-2021-26858/CVE-2021-27065:任意文件写入漏洞,在通过身份验证后攻击者可以利用该漏洞将文件写入服务器的任意路径。


据报道,目前已经出现利用这些漏洞进行的定向攻击事件。奇安信安全专家测试确认,组合使用漏洞无需验证和交互即可触发远程代码执行,危害极大,建议客户尽快修复漏洞并自查服务器的安全状况。


更新内容:

新增:奇安信天眼产品解决方案、奇安信网神网络数据传感器系统产品检测方案、NGSOC解决方案。

更新:处置建议、检测方法、缓解措施




当前漏洞状态



细节是否公开

PoC状态

EXP状态

在野利用

是(部分)

未知

未知

已发现




漏洞描述

近日,奇安信CERT监测到微软修复了Microsoft Exchange多个高危漏洞。通过组合利用这些漏洞能够在未经身份验证的情况下远程获取目标服务器权限。其中包括:

CVE-2021-26855:服务端请求伪造(SSRF)漏洞,通过该漏洞,攻击者可以发送任意HTTP请求并通过Exchange Server进行身份验证,获取权限。


CVE-2021-26857:是统一消息服务中的不安全反序列化漏洞。通过该此漏洞,具有管理员权限的攻击者可以在Exchange服务器上以SYSTEM身份运行任意代码。


CVE-2021-26858/CVE-2021-27065:任意文件写入漏洞,在通过身份验证后攻击者可以利用该漏洞将文件写入服务器的任意路径。


目前微软称已经监测到了利用该漏洞进行攻击的事件,经过奇安信安全专家确认,漏洞无需验证和交互即可触发远程代码执行,危害极大,建议客户尽快自查修复。



风险等级


奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)



影响范围

CVE-2021-27078/CVE-2021-26855/CVE-2021-26858:

Microsoft Exchange Server 2019 Cumulative Update 8

Microsoft Exchange Server 2019 Cumulative Update 7

Microsoft Exchange Server 2016 Cumulative Update 19

Microsoft Exchange Server 2016 Cumulative Update 18

Microsoft Exchange Server 2013 Cumulative Update 23


CVE-2021-26857:

Microsoft Exchange Server 2019 Cumulative Update 8

Microsoft Exchange Server 2019 Cumulative Update 7

Microsoft Exchange Server 2016 Cumulative Update 19

Microsoft Exchange Server 2016 Cumulative Update 18

Microsoft Exchange Server 2013 Cumulative Update 23

Microsoft Exchange Server 2010 Service Pack 3



处置建议

安装补丁

请参考以下链接安装补丁

CVE-2021-26855:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26857:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

CVE-2021-26858:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

CVE-2021-27065:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065


缓解措施:

检测方法

1. 文件检查

以下目录下是否存在可疑WebShell文件

IIS服务目录:

C:inetpubwwwrootaspnet_client

C:inetpubwwwrootaspnet_clientsystem_web

Exchange Server安装目录:

%PROGRAMFILES%MicrosoftExchange ServerV15FrontEndHttpProxyowaauth

C:ExchangeFrontEndHttpProxyowaauth

可疑WebShell文件名称:

web.aspx、help.aspx、document.aspx、errorEE.aspx、errorEW.aspx、errorFF.aspx、healthcheck.aspx、aspnet_www.aspx、aspnet_client.aspx、xx.aspx、shell.aspx、aspnet_iisstart.aspx、one.aspx等

C:ProgramData目录下是否有可疑压缩文件(*.zip *.rar *.7z)

以下目录是否存在可疑LSASS Dump凭据文件

C:windowstemp

C:root


2. CVE-2021-26855漏洞利用行为检查

在Exchange Server服务器上找到Exchange Web访问日志所在目录,如:

%PROGRAMFILES%MicrosoftExchange ServerV15LoggingHttpProxy

通过PowerShell检测可疑的利用行为:

Import-Csv -Path (Get-ChildItem -Recurse -Path "$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingHttpProxy" -Filter *.log).FullName | Where-Object {  $_.AuthenticatedUser -eq '' -and $_.AnchorMailbox -like 'ServerInfo~*/*' } | select DateTime, AnchorMailbox

如果检测到利用行为,可在以下目录进一步分析攻击者的历史行为

%PROGRAMFILES%MicrosoftExchange ServerV15Logging


3. CVE-2021-26857漏洞利用行为检查

该漏洞的利用行为可在Windows应用事件日志中检测到,PowerShell查询命令如下:

Get-EventLog -LogName Application -Source "MSExchange Unified Messaging" -EntryType Error | Where-Object { $_.Message -like "*System.InvalidCastException*" }


4. CVE-2021-26858漏洞利用行为检查

该漏洞的利用行为可在Exchange日志中检测到,Windows命令行查询命令如下:

findstr /snip /c:"Download failed and temporary file" "%PROGRAMFILES%MicrosoftExchange ServerV15LoggingOABGeneratorLog*.log"


5. CVE-2021-27065漏洞利用行为检查

在Exchange Server服务器上找到以下目录,如:

C:Program FilesMicrosoftExchange ServerV15LoggingECPServer

通过PowerShell检测可疑的利用行为:

Select-String -Path "$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingECPServer*.log" -Pattern 'Set-.+VirtualDirectory'


缓解措施

可以通过将Exchange服务器与外网隔离、限制不受信任的连接与访问,通过VPN访问Exchange服务器来缓解这种攻击。



产品线解决方案

奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0303.12678上版本。规则名称:Microsoft Exchange 反序列化代码执行漏洞(CVE-2021-26857),规则ID:0x10020BE4; 规则名:Microsoft Exchange 服务端请求伪造漏洞(CVE-2021-26855),规则ID:0x10020BE3。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。


奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:

不安全反序列化漏洞(CVE-2021-26857):6237。

服务端请求伪造漏洞(CVE-2021-26855):6236。

任意文件写入漏洞(CVE-2021-26858):6238,建议用户尽快升级检测规则库至。2103032103以后版本并启用该检测规则。


NGSOC解决方案

奇安信NGSOC已支持对相关漏洞利用行为的检测,请参照以下信息及时升级NGSOC网络流量传感器(探针)规则库

探针规则库版本 ips_2103032103及以上版本
规则库获取地址 https://ngfwup.sg.qianxin.com/offline/download/
相关规则

规则名称: 不安全反序列化漏洞(CVE-2021-26857)

规则ID:6237

规则名称: 服务端请求伪造漏洞(CVE-2021-26855)

规则ID:6236

规则名称: 任意文件写入漏洞(CVE-2021-26858)

规则ID:6238



参考资料

[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

[2]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

[3]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

[4]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065



时间线

2021年3月3日,奇安信 CERT发布安全风险通告

2021年3月4日,奇安信 CERT发布安全风险通告第二次更新





【通告更新】奇安信产品支持防护,Microsoft Exchange多个高危漏洞安全风险通告第二次更新

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓


本文始发于微信公众号(奇安信 CERT):【通告更新】奇安信产品支持防护,Microsoft Exchange多个高危漏洞安全风险通告第二次更新

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: