【漏洞预警】Microsoft Exchange多个高危漏洞(CVE-2021-26855等)

admin
admin
admin
137989
文章
113
评论
2021年5月27日08:32:21评论40 views字数 2433阅读8分6秒阅读模式

2021年03月3日,阿里云应急响应中心监测发现微软发布了Microsoft Exchange安全更新,披露了多个高危严重漏洞。

01

漏洞描述

Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。2021年03月3日,微软官方发布了Microsoft Exchange安全更新,披露了多个高危严重漏洞,其中:

1、在 CVE-2021-26855 Exchange SSRF漏洞中,攻击者可直接构造恶意请求,以Exchange server的身份发起任意HTTP请求,扫描内网,并且可获取Exchange用户信息。该漏洞利用无需身份认证。

2、在 CVE-2021-26857 Unified Messaging service 反序列化漏洞中,攻击者可构造恶意请求,触发反序列化漏洞,从而执行任意代码。成功利用该漏洞需要Exchange administrator权限,或需要配合其他漏洞。

3、在 CVE-2021-26858 / CVE-2021-27065 Exchange 任意文件写入漏洞中,攻击者可结合CVE-2021-26855 SSRF漏洞,或提供正确的administrator凭证,构造恶意请求,在系统上写入任意文件。

阿里云应急响应中心建议 Microsoft Exchange 用户修复漏洞。

02

漏洞评级

CVE-2021-26855 高危

CVE-2021-26857 高危

CVE-2021-26858 高危

CVE-2021-27065 高危

03

影响版本

Microsoft Exchange 2013

Microsoft Exchange 2016

Microsoft Exchange 2019

Microsoft Exchange 2010

04

安全建议


1、微软官方已针对该批漏洞发布相关安全更新补丁,可按照以下链接进行升级:

CVE-2021-26855 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26857 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26858 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-27065 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855


2、若无法直接升级,可参考如下措施来检测是否受到攻击:

针对CVE-2021-26855 Exchange SSRF漏洞,可以通过以下Exchange HttpProxy日志进行检测:


%PROGRAMFILES%MicrosoftExchange ServerV15LoggingHttpProxy



通过以下Powershell可直接进行日志检测,并检查是否受到攻击:

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingHttpProxy” -Filter ‘*.log’).FullName | Where-Object {  $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox



如果检测到了入侵,可以通过以下目录获取攻击者采取了哪些活动


%PROGRAMFILES%MicrosoftExchange ServerV15Logging




针对 CVE-2021-26857 Unified Messaging service 反序列化漏洞

该漏洞单独利用难度稍高,可利用以下命令检测日志条目,并检查是否受到攻击。


Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }




针对 CVE-2021-26858 Exchange 任意文件写入漏洞

日志目录:C:ProgramFilesMicrosoftExchangeServerV15LoggingOABGeneratorLog

可通过以下命令进行快速浏览,并检查是否受到攻击:

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%MicrosoftExchange ServerV15LoggingOABGeneratorLog*.log”




针对 CVE-2021-27065 Exchange 任意文件写入漏洞:

通过以下powershell命令进行日志检测,并检查是否遭到攻击:


Select-String -Path “$env:PROGRAMFILESMicrosoftExchange ServerV15Loggin


05

相关链接

1、https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

2、https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/


     【漏洞预警】Microsoft Exchange多个高危漏洞(CVE-2021-26855等)


本文始发于微信公众号(阿里云应急响应):【漏洞预警】Microsoft Exchange多个高危漏洞(CVE-2021-26855等)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月27日08:32:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Microsoft Exchange多个高危漏洞(CVE-2021-26855等)http://cn-sec.com/archives/279054.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息