安全社区

黑盾云安全社区,与你一起分享安全领域的知识与智慧

关于微软Exchange多个高危漏洞的安全通告

紧急通告2021-03-03 16:55:14 2258次围观

2021年3月3日,微软公司披露Exchange系统存在多个高风险的漏洞,包括:CVE-2021-26855服务端请求伪造漏洞、CVE-2021-26857序列化漏洞、CVE-2021-26858和CVE-2021-27065任意文件写入漏洞。

建议各用户做好系统资产安全自查以及防御工作,防止非法入侵事件的发生。

【漏洞描述】

1. CVE-2021-26855服务端请求伪造漏洞

无需身份验证,攻击者可对Exchange Server的发起任意HTTP请求,从而扫描内网并可获取Exchange用户信息。


2.CVE-2021-26857反序列化漏洞

在拥有Exchange 管理员权限及利用其他漏洞情况下,攻击者通过构造恶意请求可触发反序列化漏洞,对系统执行任意代码。


3.CVE-2021-26858和CVE-2021-27065任意文件写入漏洞

拥有Exchange 管理员权限或结合CVE-2021-26855漏洞,通过构造恶意请求,可对系统写入任意文件。


【影响版本】

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019


【修复方案】

对应的漏洞,微软已发布相关安全补丁,各用户及时进行升级:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065


监测防范

可通过如下监测方法,来判断系统是否受到对应漏洞的恶意攻击:
1.CVE-2021-26855通过Exchange HttpProxy日志检测:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
通过PowerShell可直接进行日志检测以及检查是否受到攻击:
Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object {  $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox
以下目录可查看攻击者的具体操作:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging
2. CVE-2021-26857反序列化漏洞
利用以下命令检测日志信息,判断是否受到攻击:
Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }
3. CVE-2021-26858任意文件写入漏洞
日志目录如下:C:\ProgramFiles\Microsoft\ExchangeServer\V15\Logging\OABGeneratorLog
利用以下命令检测日志信息,判断是否受到攻击:
findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”
4. CVE-2021-27065任意文件写入漏洞
通过PowerShell命令进行日志检测:
Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Loggin


【参考资料】

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

海峡信息将持续跟进的该高危漏洞最新动态,请您保持关注海峡信息官网、官微的公告内容。如有问题,您可以通过以下方式联系我们:

安全服务热线:400-666-3586


上一篇: Spring Cloud Gateway远程代码执行漏洞的安全预警与建议

下一篇: 关于sudo本地提权漏洞(CVE-2021-3156)的安全通告