【通告更新】漏洞详情已在多个渠道公开,部分PoC公开,Microsoft Exchange多个高危漏洞安全风险通告第五次更新

  • A+
所属分类:安全漏洞
【通告更新】漏洞详情已在多个渠道公开,部分PoC公开,Microsoft Exchange多个高危漏洞安全风险通告第五次更新

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信CERT监测到微软修复了Microsoft Exchange多个高危漏洞。通过组合利用这些漏洞能够在未经身份验证的情况下远程获取目标服务器权限。其中包括CVE-2021-26855:服务端请求伪造漏洞;CVE-2021-26857:不安全的反序列化漏洞;CVE-2021-26858/CVE-2021-27065:任意文件写入漏洞,在通过身份验证后攻击者可以利用该漏洞将文件写入服务器的任意路径。


目前,奇安信CERT已监测到漏洞详情已在多种渠道被公开,并且已经有一些漏洞的PoC代码片段,漏洞的现实威胁进一步上升!奇安信安全专家测试确认,组合使用漏洞无需验证和交互即可触发远程代码执行,危害极大,强烈建议客户尽快修复漏洞或采取缓解方案并自查服务器的安全状况。


此次更新新增内容:

更新:更新了漏洞细节公开状态和PoC状态

新增:新增了漏洞时间线



当前漏洞状态




细节是否公开

PoC状态

EXP状态

在野利用

已公开(部分)

未知

已发现




漏洞描述

近日,奇安信CERT监测到微软修复了Microsoft Exchange多个高危漏洞。通过组合利用这些漏洞能够在未经身份验证的情况下远程获取目标服务器权限。其中包括:

CVE-2021-26855:服务端请求伪造(SSRF)漏洞,通过该漏洞,攻击者可以发送任意HTTP请求并通过Exchange Server进行身份验证,获取权限。


CVE-2021-26857:是统一消息服务中的不安全反序列化漏洞。通过该此漏洞,具有管理员权限的攻击者可以在Exchange服务器上以SYSTEM身份运行任意代码。


CVE-2021-26858/CVE-2021-27065:任意文件写入漏洞,在通过身份验证后攻击者可以利用该漏洞将文件写入服务器的任意路径。


目前,奇安信CERT已监测到漏洞详情已在多种渠道被公开,并且已经有一些漏洞的PoC代码片段,漏洞的现实威胁进一步上升!奇安信安全专家测试确认,组合使用漏洞无需验证和交互即可触发远程代码执行,危害极大,强烈建议客户尽快修复漏洞或采取缓解方案并自查服务器的安全状况。


漏洞时间线:

  • 2021年3月3日早,奇安信 CERT 监测到微软修复了 Microsoft Exchange 多个高危漏洞。通过组合利用这些漏洞能够在未经身份验证的情况下远程获取目标服务器权限。奇安信CERT发布风险通告

  • 2021年3月3日晚,奇安信CERT发布风险通告第二次更新,增加了产品解决方案和检测方法

  • 2021年3月9日,奇安信CERT监测到官方发布自检列表和安装补丁的注意事项,奇安信CERT发布风险通告第三次更新

  • 2021年3月10日,奇安信CERT监测发布风险通告第四次更新,增加了官方检测方法和缓解措施

  • 2021年3月11日,奇安信CERT监测到漏洞详情已在多种渠道被公开,并且已经有一些漏洞的PoC代码片段,漏洞的现实威胁进一步上升。奇安信CERT监测发布风险通告第五次更新



风险等级

奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)



影响范围

CVE-2021-27065/CVE-2021-26855/CVE-2021-26858:

Microsoft Exchange Server 2019 Cumulative Update 8

Microsoft Exchange Server 2019 Cumulative Update 7

Microsoft Exchange Server 2016 Cumulative Update 19

Microsoft Exchange Server 2016 Cumulative Update 18

Microsoft Exchange Server 2013 Cumulative Update 23


CVE-2021-26857:

Microsoft Exchange Server 2019 Cumulative Update 8

Microsoft Exchange Server 2019 Cumulative Update 7

Microsoft Exchange Server 2016 Cumulative Update 19

Microsoft Exchange Server 2016 Cumulative Update 18

Microsoft Exchange Server 2013 Cumulative Update 23

Microsoft Exchange Server 2010 Service Pack 3




处置建议

安装补丁

请参考以下链接安装补丁

CVE-2021-26855:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26857:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

CVE-2021-26858:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

CVE-2021-27065:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

注意事项:

  • 必须以管理员权限安装这些更新补丁。

    • 下载更新补丁后,暂不立即运行;

    • 以管理员身份运行 cmd 命令提示符;

    • 输入完整的 .msp 文件路径,回车运行。

  • 若安装Exchange servers到一个新的 CU 也需要确保包含2021年3月份的安全更新,否则仍然受漏洞影响。(Exchange 2016 CU 20 、 Exchange 2019 CU 9 以及更新的版本中将包含2021年3月份的安全更新)

  • 安装更新需要重新启动(即使没有提示)。直到重新启动后,服务器才会受到保护。

  • 在安装这些更新其中之一后,您可能会从Microsoft Update看到针对旧CU的旧Exchange安全更新。安装来自Microsoft update较旧的安全更新,您的服务器将受到保护(针对前面提到的4个CVE)。

  • 如果安装后遇到问题,请首先查看https://aka.ms/exupdatefaq。如果需要,您还可以卸载这些更新(使用“添加/删除程序”)。


检测方法

  • 手动检测

1. 文件检查

以下目录下是否存在可疑WebShell文件

IIS服务目录:

C:inetpubwwwrootaspnet_client

C:inetpubwwwrootaspnet_clientsystem_web

Exchange Server安装目录:

%PROGRAMFILES%MicrosoftExchange ServerV15FrontEndHttpProxyowaauth

C:ExchangeFrontEndHttpProxyowaauth

可疑WebShell文件名称:

web.aspx、help.aspx、document.aspx、errorEE.aspx、errorEW.aspx、errorFF.aspx、healthcheck.aspx、aspnet_www.aspx、aspnet_client.aspx、xx.aspx、shell.aspx、aspnet_iisstart.aspx、one.aspx等

C:ProgramData目录下是否有可疑压缩文件(*.zip *.rar *.7z)

以下目录是否存在可疑LSASS Dump凭据文件

C:windowstemp

C:root


2. CVE-2021-26855漏洞利用行为检查

在Exchange Server服务器上找到Exchange Web访问日志所在目录,如:

%PROGRAMFILES%MicrosoftExchange ServerV15LoggingHttpProxy

通过PowerShell检测可疑的利用行为:

Import-Csv -Path (Get-ChildItem -Recurse -Path "$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingHttpProxy" -Filter *.log).FullName | Where-Object {  $_.AuthenticatedUser -eq '' -and $_.AnchorMailbox -like 'ServerInfo~*/*' } | select DateTime, AnchorMailbox

如果检测到利用行为,可在以下目录进一步分析攻击者的历史行为

%PROGRAMFILES%MicrosoftExchange ServerV15Logging


3. CVE-2021-26857漏洞利用行为检查

该漏洞的利用行为可在Windows应用事件日志中检测到,PowerShell查询命令如下:

Get-EventLog -LogName Application -Source "MSExchange Unified Messaging" -EntryType Error | Where-Object { $_.Message -like "*System.InvalidCastException*" }


4. CVE-2021-26858漏洞利用行为检查

该漏洞的利用行为可在Exchange日志中检测到,Windows命令行查询命令如下:

findstr /snip /c:"Download failed and temporary file" "%PROGRAMFILES%MicrosoftExchange ServerV15LoggingOABGeneratorLog*.log"


5. CVE-2021-27065漏洞利用行为检查

在Exchange Server服务器上找到以下目录,如:

C:Program FilesMicrosoftExchange ServerV15LoggingECPServer

通过PowerShell检测可疑的利用行为:

Select-String -Path "$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingECPServer*.log" -Pattern 'Set-.+VirtualDirectory'


  • 自动扫描


用户可参考以下链接下载Microsoft安全扫描程序(MSERT.EXE)进行自动扫描:

https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/


缓解措施

可以通过将Exchange服务器与外网隔离、限制不受信任的连接与访问,通过VPN访问Exchange服务器来缓解这种攻击。


还可以使用微软给出的ExchangeMitigations.ps1脚本来应用或回滚这些缓解措施,这些缓解措施对Exchange Server功能有一些已知的影响。缓解措施可有效抵抗迄今为止我们在野外看到的攻击,但不能保证完全缓解所有可能利用这些漏洞的情况,对于已经被入侵的服务器没有帮助。这只能用作临时缓解措施,直到可以对Exchange服务器进行完全修补为止,我们建议立即应用所有缓解措施。


该脚本包含缓解措施,可帮助解决以下漏洞:

  • CVE-2021-26855

  • CVE-2021-26857

  • CVE-2021-27065

  • CVE-2021-26858


该脚本将通过提升的Exchange PowerShell会话或提升的Exchange命令行管理程序执行。缓解措施的详细信息在下面,在这里下载最新版本:

https://github.com/microsoft/CSS-Exchange/tree/main/Security


要求:URL重写模块

对于IIS 10和更高版本的URL,建议使用URL重写模块2.1,可以在此处下载版本2.1(x86和x64):

https://www.iis.net/downloads/microsoft/url-rewrite

对于IIS 8.5及更低版本,建议使用Rewrite Module 2.0,可在此处下载版本2.0:

x86 – https://www.microsoft.com/zh-cn/download/details.aspx?id=5747

x64 – https://www.microsoft.com/zh-cn/download/details.aspx?id=7435

影响:如果按照建议安装URL重写模块,则对Exchange功能没有已知影响。

在IIS 8.5及更低版本上安装URL Rewrite 2.1版可能会导致IIS和Exchange变得不稳定。如果URL重写模块和IIS版本之间不匹配,则ExchangeMitigatio

ns.ps1将不对CVE-2021-26855应用缓解措施。您必须卸载URL重写模块并重新安装正确的版本。


  • 使用方法:

在MSI安装中应用所有缓解措施:

.ExchangeMitigations.ps1 -FullPathToMSI "FullPathToMSI" -WebSiteNames "Default Web Site" -ApplyAllMitigations

在不安装MSI的情况下应用所有缓解措施:

.ExchangeMitigations.ps1 -WebSiteNames "Default Web Site" -ApplyAllMitigations -Verbose

回滚所有缓解措施:

.ExchangeMitigations.ps1 -WebSiteNames "Default Web Site" -RollbackAllMitigation

应用多种或特定的缓解措施(共4种):

.ExchangeMitigations.ps1 -WebSiteNames "Default Web Site" -ApplyECPAppPoolMitigation -ApplyOABAppPoolMitigation

回滚多个或特定缓解措施:

.ExchangeMitigations.ps1 -WebSiteNames "Default Web Site" -RollbackECPAppPoolMitigation -RollbackOABAppPoolMitigation


  • 后端Cookie缓解

适用于CVE-2021-26855

描述:此缓解措施将过滤包含恶意X-AnonResource-Backend和格式不正确的X-BEResource cookie的https请求,这些恶意X-AnonResource-Backend和格式不正确的X-BEResource cookie被发现在野外的SSRF攻击中使用。这将有助于防御观察到的已知模式,而不是整个SSRF。

注意:升级Exchange后,将删除IIS Rewrite规则,如果尚未安装安全补丁,则需要重新应用缓解措施。


  • 统一消息缓解

适用于:CVE-2021-26857

说明:此缓解措施将禁用Exchange中的统一消息服务。Microsoft Exchange受管可用性服务也被禁用,以防止缓解退化。

影响:禁用这些服务后,统一消息/语音邮件中断。由于禁用了Microsoft Exchange托管可用性服务,因此也禁用了Exchange的高级监视功能。


  • ECP应用程序池缓解

适用于: CVE-2021-27065CVE-2021-26858

说明:此缓解措施将禁用Exchange控制面板(ECP)虚拟目录。Microsoft Exchange受管可用性服务也被禁用,以防止缓解退化。

影响: Exchange控制面板将不再可用。在禁用Exchange控制面板的情况下,可以通过远程PowerShell完成所有Exchange管理。由于禁用了Microsoft Exchange托管可用性服务,因此也禁用了Exchange的高级监视功能。


  • OAB应用程序池缓解

适用于: CVE-2021-27065CVE-2021-26858

说明:此缓解措施禁用了脱机通讯簿(OAB)应用程序池和API。Microsoft Exchange受管可用性服务也被禁用,以防止缓解退化。

影响: OAB将不可用,包括Outlook客户端下载的脱机通讯簿。在某些情况和配置下,这可能会导致地址簿过时。由于禁用了Microsoft Exchange托管可用性服务,因此也禁用了Exchange的高级监视功能。


官方自检列表

以下的GitHub链接中,官方列出了以JSON和CSV格式显示的恶意哈希和已知的恶意文件路径,以便用户自检。

  • CSV格式:https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Sample%20Data/Feeds/MSTICIoCs-ExchangeServerVulnerabilitiesDisclosedMarch2021.csv

  • JSON格式:https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Sample%20Data/Feeds/MSTICIoCs-ExchangeServerVulnerabilitiesDisclosedMarch2021.json



产品解决方案

奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0303.12678上版本。规则名称:Microsoft Exchange 反序列化代码执行漏洞(CVE-2021-26857),规则ID:0x10020BE4; 规则名:Microsoft Exchange 服务端请求伪造漏洞(CVE-2021-26855),规则ID:0x10020BE3。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。


奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:

不安全反序列化漏洞(CVE-2021-26857):6237。

服务端请求伪造漏洞(CVE-2021-26855):6236。

任意文件写入漏洞(CVE-2021-26858):6238,建议用户尽快升级检测规则库至。2103032103以后版本并启用该检测规则。


NGSOC解决方案

奇安信NGSOC已支持对相关漏洞利用行为的检测,请参照以下信息及时升级NGSOC网络流量传感器(探针)规则库

探针规则库版本 ips_2103032103及以上版本
规则库获取地址 https://ngfwup.sg.qianxin.com/offline/download/
相关规则

规则名称: 不安全反序列化漏洞(CVE-2021-26857)

规则ID:6237

规则名称: 服务端请求伪造漏洞(CVE-2021-26855)

规则ID:6236

规则名称: 任意文件写入漏洞(CVE-2021-26858)

规则ID:6238



参考资料

[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

[2]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

[3]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

[4]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

[5]https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020

[6]https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/



时间线

2021年3月3日,奇安信 CERT发布安全风险通告

2021年3月4日,奇安信 CERT发布安全风险通告第二次更新

2021年3月9日,奇安信 CERT发布安全风险通告第三期更新

2021年3月10日,奇安信 CERT发布安全风险通告第四次更新

2021年3月11日,奇安信 CERT发布安全风险通告第五次更新


【通告更新】漏洞详情已在多个渠道公开,部分PoC公开,Microsoft Exchange多个高危漏洞安全风险通告第五次更新点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情






【通告更新】漏洞详情已在多个渠道公开,部分PoC公开,Microsoft Exchange多个高危漏洞安全风险通告第五次更新

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓


本文始发于微信公众号(奇安信 CERT):【通告更新】漏洞详情已在多个渠道公开,部分PoC公开,Microsoft Exchange多个高危漏洞安全风险通告第五次更新

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: