报告编号:B6-2021-031601
报告来源:360CERT
报告作者:360CERT
更新日期:2021-03-16
0x01事件简述
2021年03月03日,360CERT监测发现微软发布了Exchange 多个高危漏洞的风险通告,该漏洞编号为CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065,事件等级:严重,事件评分:9.8。
对此,360CERT建议广大用户及时将exchange升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x02风险等级
360CERT对该事件的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 严重 |
| 影响面 | 广泛 |
| 360CERT评分 | 9.8 |
0x03漏洞详情
CVE-2021-26855: 服务端请求伪造漏洞
Exchange服务器端请求伪造(SSRF)漏洞,利用此漏洞的攻击者能够发送任意HTTP请求并通过Exchange Server进行身份验证。
CVE-2021-26857: 序列化漏洞
Exchange反序列化漏洞,该漏洞需要管理员权限,利用此漏洞的攻击者可以在Exchange服务器上以SYSTEM身份运行代码。
CVE-2021-26858/CVE-2021-27065: 任意文件写入漏洞
Exchange中身份验证后的任意文件写入漏洞。攻击者通过Exchange服务器进行身份验证后,可以利用此漏洞将文件写入服务器上的任何路径。该漏洞可以配合CVE-2021-26855 SSRF漏洞进行组合攻击。
0x04影响版本
- microsoft:exchange: 2013/2016/2019/2010
0x05修复建议
通用修补建议
微软已发布相关安全更新,用户可跟进以下链接进行升级:
CVE-2021-26855:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-26857:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-26858:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-27065:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
Microsoft最新发布了Microsoft Exchange漏洞本地缓解工具EOMT(the Exchange On-premises Mitigation Tool),没有专门安全团队的厂商可以直接使用该工具进行漏洞修补,工具链接:https://github.com/microsoft/CSS-Exchange/tree/main/Security#exchange-on-premises-mitigation-tool-eomt
同时,Microsoft已发布了Microsoft Exchange漏洞本地检测工具,各厂商可以使用该工具进行自检,工具链接:https://github.com/microsoft/CSS-Exchange/tree/main/Security
临时修补建议
CVE-2021-26855:
可以通过以下Exchange HttpProxy日志进行检测:
%PROGRAMFILES%MicrosoftExchange ServerV15LoggingHttpProxy
通过以下Powershell可直接进行日志检测,并检查是否受到攻击:
Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingHttpProxy” -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox
如果检测到了入侵,可以通过以下目录获取攻击者采取了哪些活动
%PROGRAMFILES%MicrosoftExchange ServerV15Logging
CVE-2021-26858:
日志目录:C:Program FilesMicrosoftExchange ServerV15LoggingOABGeneratorLog
可通过以下命令进行快速浏览,并检查是否受到攻击:
findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%MicrosoftExchange ServerV15LoggingOABGeneratorLog*.log”
CVE-2021-26857:
该漏洞单独利用难度稍高,可利用以下命令检测日志条目,并检查是否受到攻击。
Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }
CVE-2021-27065:
通过以下powershell命令进行日志检测,并检查是否遭到攻击:
Select-String -Path “$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingECPServer*.log” -Pattern ‘Set-.+VirtualDirectory’
0x06产品侧解决方案
360AISA全流量威胁分析系统
针对微软本次安全更新,360AISA已基于流量侧提供对应检测能力更新,请AISA用户联系[email protected]获取更新,尽快升级检测引擎和规则,做好安全防护工作。
360本地安全大脑
360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。
0x07时间线
2021-03-02 微软发布漏洞报告
2021-03-03 360CERT发布通告
2021-03-16 微软官方发布一键修补程序
0x08参考链接
1、 HAFNIUM targeting Exchange Servers with 0-day exploits
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
0x09特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。
【更新:官方一键修复工具】微软Exchange多个高危漏洞通告
http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】【更新_官方一键修复工具】微软Exchange多个高危漏洞通告.pdf
若有订阅意向与定制需求请扫描下方二维码进行信息填写,或发送邮件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
推荐阅读:
长按下方二维码关注360CERT!谢谢你的关注!
注:360CERT官方网站提供 《【更新:官方一键修复工具】微软Exchange多个高危漏洞通告》 完整详情,点击阅读原文
本文始发于微信公众号(三六零CERT):【更新:官方一键修复工具】微软Exchange多个高危漏洞通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论