漏洞名称
:
微软Exchange Server多个高危漏洞
组件名称
: Exchange Server
威胁等级
:
高
危
影响范围
:
Exchange Server 2013
Exchange Server 2016
Exchange Server 2019
漏洞类型
:
远程代码执行
利用条件
: 1、用户认证:不需要用户认证
2、触发方式:远程
造成后果
: 攻击者可以利用该漏洞的组合绕过身份验证执行任意代码。
Microsoft Exchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序,它可以被用来构架应用于企业、学校的邮件系统或免费邮件系统。并提供邮件存取、储存、转发,语音邮件、邮件过滤筛选等功能,适合有各种协作需求的用户使用。
近日,深信服安全团队监测到微软官方发布了一则漏洞安全通告,通告披露了Exchange Server组件存在多个漏洞,漏洞编号:
CVE-2021-26855/26857/26858/27065。
CVE-2021-26855: SSRF漏洞
Exchange Server服务器端请求伪造(SSRF)漏洞,利用此漏洞的攻击者能够发送任意HTTP请求并通过Exchange Server进行身份验证。
CVE-2021-26857: 反序列化漏洞
Exchange Server反序列化漏洞,该漏洞需要管理员权限,利用此漏洞的攻击者可以在Exchange服务器上以SYSTEM身份运行代码。
CVE-2021-26858/CVE-2021-27065: 任意文件写入漏洞
Exchange Server中身份验证后的任意文件写入漏洞。攻击者通过Exchange Server服务器进行身份验证后,可以利用此漏洞将文件写入服务器上的任何路径。同时,通过配合利用CVE-2021-26855 SSRF漏洞可以绕过身份验证。
Exchange Server可以运行在几乎所有计算机平台上,由于其跨平台和安全性被广泛使用,成为最流行的邮件服务器端软件之一。全球有数千万邮件服务器采用Exchange Server,可能受漏洞影响的资产广泛分布于世界各地,中国大陆省份中,浙江、广东、山东、北京、上海等省市接近 70%,今年曝出的漏洞为高危漏洞,
需要引起用户的高度重视
。
目前受影响的Exchange Server版本:
Exchange Server 2013
Exchange Server 2016
Exchange Server 2019
首先打开Exchange Management Shell
然后再命令行中输入
Get-ExchangeServer | fl admindisplayversion
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
安全更新可用于以下特定版本的Exchange:
Exchange Server 2010(Service Pack 3的RU 31 –这是深度防御更新)
Exchange Server 2013(CU 23)
Exchange Server 2016(CU 19,CU 18)
Exchange Server 2019(CU 8,CU 7)
如果Exchange Server不在此版本上建议升级至以上版本进行安全更新。
CVE-2021-26855:
可以通过以下Exchange HttpProxy日志进行检测:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
可以通过在AuthenticatedUser为空并且AnchorMailbox包含ServerInfo〜* / *模式的日志条目中进行搜索来识别漏洞利用,也可以通过以下PowerShell命令来查找这些日志条目:
Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox
如果检测到了入侵,可以通过以下目录获取攻击者采取了哪些活动
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging
CVE-2021-26858:
可以通过日志文件查看相关信息
C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog
文件应仅下载到
%PROGRAMFILES%\Microsoft\Exchange Server\V15\ClientAccess\OAB\Temp目录,如果被利用,文件将下载到其他目录(UNC或本地路径),可以通过以下命令搜索可能的漏洞利用。
findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”
CVE-2021-26857:
可利用以下命令检测日志条目,并检查是否受到攻击。
Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }
利用该漏洞将创建具有以下属性的应用程序事件:
Source: MSExchange Unified MessagingEntryType: ErrorEvent Message Contains: System.InvalidCastException
CVE-2021-27065:
通过以下powershell命令进行日志检测,并检查是否遭到攻击:
Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’
【
深信服下一代防火墙
】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。
【
深信服云盾
】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。
【
深信服安全感知平台
】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。
【
深信服安全运营服务
】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初,云端安全专家即对客户的网络环境进行漏洞扫描,保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。
