漏洞名称 : 微软Exchange Server多个高危漏洞
组件名称 : Exchange Server
威胁等级 : 高危
影响范围 : Exchange Server 2013
Exchange Server 2016
Exchange Server 2019
漏洞类型 : 远程代码执行
利用条件 : 1、用户认证:不需要用户认证
2、触发方式:远程
造成后果 : 攻击者可以利用该漏洞的组合绕过身份验证执行任意代码。
漏洞分析
1 组件介绍
Microsoft Exchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序,它可以被用来构架应用于企业、学校的邮件系统或免费邮件系统。并提供邮件存取、储存、转发,语音邮件、邮件过滤筛选等功能,适合有各种协作需求的用户使用。
2 漏洞描述
近日,深信服安全团队监测到微软官方发布了一则漏洞安全通告,通告披露了Exchange Server组件存在多个漏洞,漏洞编号:
CVE-2021-26855/26857/26858/27065。
CVE-2021-26855: SSRF漏洞
Exchange Server服务器端请求伪造(SSRF)漏洞,利用此漏洞的攻击者能够发送任意HTTP请求并通过Exchange Server进行身份验证。
CVE-2021-26857: 反序列化漏洞
Exchange Server反序列化漏洞,该漏洞需要管理员权限,利用此漏洞的攻击者可以在Exchange服务器上以SYSTEM身份运行代码。
CVE-2021-26858/CVE-2021-27065: 任意文件写入漏洞
Exchange Server中身份验证后的任意文件写入漏洞。攻击者通过Exchange Server服务器进行身份验证后,可以利用此漏洞将文件写入服务器上的任何路径。同时,通过配合利用CVE-2021-26855 SSRF漏洞可以绕过身份验证。
影响范围
Exchange Server可以运行在几乎所有计算机平台上,由于其跨平台和安全性被广泛使用,成为最流行的邮件服务器端软件之一。全球有数千万邮件服务器采用Exchange Server,可能受漏洞影响的资产广泛分布于世界各地,中国大陆省份中,浙江、广东、山东、北京、上海等省市接近 70%,今年曝出的漏洞为高危漏洞,需要引起用户的高度重视。
目前受影响的Exchange Server版本:
Exchange Server 2013
Exchange Server 2016
Exchange Server 2019
解决方案
1 如何检测组件系统版本
首先打开Exchange Management Shell
然后再命令行中输入
Get-ExchangeServer | fl admindisplayversion
2 官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
安全更新可用于以下特定版本的Exchange:
Exchange Server 2010(Service Pack 3的RU 31 –这是深度防御更新)
Exchange Server 2013(CU 23)
Exchange Server 2016(CU 19,CU 18)
Exchange Server 2019(CU 8,CU 7)
如果Exchange Server不在此版本上建议升级至以上版本进行安全更新。
3 临时修复建议
CVE-2021-26855:
可以通过以下Exchange HttpProxy日志进行检测:
PROGRAMFILES%MicrosoftExchange ServerV15LoggingHttpProxy可以通过在AuthenticatedUser为空并且AnchorMailbox包含ServerInfo〜* / *模式的日志条目中进行搜索来识别漏洞利用,也可以通过以下PowerShell命令来查找这些日志条目:
Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingHttpProxy” -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox如果检测到了入侵,可以通过以下目录获取攻击者采取了哪些活动
PROGRAMFILES%MicrosoftExchange ServerV15LoggingCVE-2021-26858:
可以通过日志文件查看相关信息
C:Program FilesMicrosoftExchange ServerV15LoggingOABGeneratorLog文件应仅下载到
%PROGRAMFILES%MicrosoftExchange ServerV15ClientAccessOABTemp目录,如果被利用,文件将下载到其他目录(UNC或本地路径),可以通过以下命令搜索可能的漏洞利用。
findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%MicrosoftExchange ServerV15LoggingOABGeneratorLog*.log”CVE-2021-26857:
可利用以下命令检测日志条目,并检查是否受到攻击。
Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }利用该漏洞将创建具有以下属性的应用程序事件:
Source: MSExchange Unified MessagingEntryType: ErrorEvent Message Contains: System.InvalidCastException
CVE-2021-27065:
通过以下powershell命令进行日志检测,并检查是否遭到攻击:
Select-String -Path “$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingECPServer*.log” -Pattern ‘Set-.+VirtualDirectory’4 深信服解决方案
【深信服下一代防火墙】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。
【深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。
【深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。
【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初,云端安全专家即对客户的网络环境进行漏洞扫描,保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。
时间轴
2021/3/2 微软官方发布安全公告。
2021/3/3 深信服千里目安全实验室发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
本文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】微软Exchange Server多个高危漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论