微软发布Exchange漏洞修复方案及检测工具,建议及时排查

  • A+
所属分类:安全漏洞

TAGExchangeServer漏洞、CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065

TLP:白(报告转发及使用不受限制)
日期:2021-03-09


1

事件背


3 月 2 日,微软发布 Microsoft Exchange Server 多个紧急安全更新公告,涉及相关 7 个高危漏洞。根据微软官方统计,目前发现已有 4 个漏洞被用于攻击,分别为:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065。尚未发现被利用的漏洞包含:CVE-2021-26412、CVE-2021-26854、CVE-2021-27078。在微软发布公告后已发现有黑客团伙开始利用相关漏洞进行攻击。


Exchange Server 是微软公司提供关于电子邮件服务组件,同时也是一个协作平台,提供开发工作流、知识管理系统、Web 系统或者其他消息系统。根据网络空间测绘数据显示,中国地区安装 Exchangge Server 服务套件已超 180000 台,中国大陆地区安装 Exchange Server服务套件前五地区分别为广东、上海、北京、江苏、四川等地。


此次受影响 Exchange 版本如下:

Exchange Server版本

是否受影响

Exchange Online

Exchange 2003、Exchange2007

Exchange 2010

Exchange 2013、Exchange 2016、Exchange  2019


2

漏洞概况

此次补丁主要针对已经被利用的 4 个高危漏洞:

  • CVE-2021-26855,是 Exchange 中的一个服务器端请求伪造(SSRF)漏洞,它能使攻击者以 Exchange Server 身份发送任意 HTTP 请求。

  • CVE-2021-26857,是存在于 Exchange 组件中的发序列化漏洞,攻击者利用该漏洞可以获得 Exchange Server 的 System 权限,该漏洞的触发需要攻击者具有管理员权限或者配合其他漏洞。

  • CVE-2021-26858/CVE-2021-27065,这两个漏洞是存在于 Exchange 组件中的任意文件写入漏洞,攻击者在完成 Exchange Server 的身份认证后,能够利用这两个漏洞实现任意文件写入,这两个漏洞需要配合 CVE-2021-26855 绕过 Exchange Server 的身份验证。


在微软公布的相关黑客攻击报告中提到,攻击者利用这些漏洞获取访问权限后,在感染的服务器上部署 WebShell,通过 WebShell 攻击者可以窃密数据并执行其他恶意操作。同时还发现黑客通过受感染的系统中下载 Exchange 相关数据通讯簿,其中包含有关组织以及用户的信息。


3

修复方案


安装 Exchange Server 服务套件的用户可根据受影响版本下载最新相关版本官方补丁安装,安装前建议做好系统备份。


相关补丁下载地址如下:

  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065


上述链接的补丁使用于如下版本的 Exchange Server:

  • Exchange Server2010(SP3/SP3RU)
  • Exchange Server2013(CU23)

  • Exchange Server2016(CU19/CU18)

  • Exchange Server20019(CU18/CU7)


对于不在上述版本列表的老版本用户,可参考以下官方补丁修补方案。

Exchange  Server 版本

官方补丁安装方案链接

Exchange Server 2010

https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-serv

er-2010-service-pack-3-march-2-2021-kb5000978-894f27

bf-281e-44f8-b9ba-dad705534459

Exchange Server 2013

https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b

Exchange Server 2016

https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-serv

er-2019-2016-and-2013-march-2-2021-kb5000871-9800a6b

b-0a21-4ee7-b9da-fa85b3e1d23b

Exchange Server 2019

https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-serv

er-2019-2016-and-2013-march-2-2021-kb5000871-9800a6b

b-0a21-4ee7-b9da-fa85b3e1d23b



4

检测工具


在对安装受影响 Exchange Server 版本的用户未能进行完全修复情况下,微软发布了一款免费工具以及指南,用于帮助检测是否被黑客利用相关漏洞入侵。


相关工具链接如下:

https://github.com/microsoft/CSS-Exchange/tree/main/Security

相关工具文件

功能

Test-ProxyLogon.ps1

该脚本检查 CVE-2021-26855、26858、26857 和 27065 中是否存在被利用的迹象

ExchangeMitigations.ps1

该脚本包含 4 个缓解措施,以帮助解决相关漏洞:CVE-2021-26855、CVE-2021-26857、CVE-2021-27065、CVE-2021-26858

CompareExchangeHashes.ps1

该脚本通过对比文件哈希,能够检测运行在 ES13/ES16/ES19 环境下的已知恶意文件

BackendCookieMitigation.ps1

该脚本包含 CVE-2021-26855 的缓解措施

http-vuln-cve2021-26855.nse

nmap 扫描脚本,检测指定的 URL 是否容易受到 Exchange Server SSRF 漏洞(CVE-2021

-26855)的攻击



5

总结


Exchange Server 服务作为最受欢迎的邮件服务之一,在全球用户高达千万以上,而此次相关漏洞也是在更新前被发现已经用于黑客组织攻击活动中,所以受影响范围广泛。在微软发布更新通报后,对于尚未安装相关补丁的受影响用户,被活跃的黑客团伙攻击概率也相对较大。所以微步在线建议广大用户及时安装软件系统补丁,预防黑客利用相关漏洞进行攻击,避免企业受到严重损失。



━ ━ ━ ━ ━


关于微步在线研究响应团队

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。


微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。



微软发布Exchange漏洞修复方案及检测工具,建议及时排查

本文始发于微信公众号(安全威胁情报):微软发布Exchange漏洞修复方案及检测工具,建议及时排查

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: