登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

Microsoft Exchange多个高危漏洞安全通告(CVE-2021-26858,CVE-2021-27065,CVE-2021-26857)

【发布时间:2021-12-30】

威胁预警团队

2021/03/03


1. 漏洞综述

1.1 漏洞背景

Microsoft Exchange Server是微软公司的一套电子邮件服务组件,是个消息与协作系统。Exchange server可以被用来构架应用于企业、学校的邮件系统或免费邮件系统。它还是一个协作平台。你可以在此基础上开发工作流,知识管理系统,Web系统或者是其他消息系统。2021年03月03日,新华三攻防实验室监测到微软官方发布了Microsoft Exchange安全更新,修复了包含CVE-2021-26855在内的多个高危漏洞。通过相关漏洞组合利用,未经身份验证的攻击者可远程触发漏洞,成功利用这些漏洞可在目标机器上执行任意代码。

1.2 漏洞详情

2021年03月03日,微软官方发布安全更新,修复了多个高危漏洞,包括:

1、 CVE-2021-26855 服务端请求伪造漏洞

该漏洞无需身份认证,攻击者可以利用此漏洞发送恶意请求,伪造成Exchange server的身份发起任意HTTP请求,对内网进行扫描,并获取Exchange的用户信息。

2、 CVE-2021-26857 反序列化漏洞

该漏洞需要Exchange administrator权限,攻击者可以利用此漏洞发送恶意请求来触发反序列化漏洞,从而执行任意代码。

3、 CVE-2021-26858/CVE-2021-27065 任意文件写入漏洞

攻击者通过Exchange服务器进行身份验证后,可以利用此漏洞将文件写入服务器上的任何路径。该漏洞可以配合CVE-2021-26855 SSRF漏洞破坏管理员凭据后进行组合攻击。

2. 漏洞评级

CVE-2021-26855高危

CVE-2021-26857高危

CVE-2021-26858高危

CVE-2021-27065高危

3. 影响范围

Microsoft Exchange 2010

Microsoft Exchange 2013

Microsoft Exchange 2016

Microsoft Exchange 2019

4. 处置方法

4.1 官方补丁

目前官方已经发布对应漏洞修复补丁,下载地址链接:

CVE-2021-26855:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26857:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

CVE-2021-26858:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

CVE-2021-27065:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

4.2 临时缓解措施

CVE-2021-26855

可以通过以下Exchange HttpProxy日志进行检测:

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

通过以下Powershell脚本可直接进行日志检测,检查是否受到攻击:

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

如果检测到了入侵,可以通过以下目录获取攻击者采取了哪些活动

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

CVE-2021-26858

日志目录:

C:\ProgramFiles\Microsoft\ExchangeServer\V15\Logging\OABGeneratorLog

可通过以下命令进行快速浏览,并检查是否受到攻击:

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”

CVE-2021-26857

该漏洞单独利用难度稍高,可利用以下命令检测日志条目,并检查是否受到攻击。

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

CVE-2021-27065:

通过以下powershell命令进行日志检测,并检查是否遭到攻击:

Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Ser

5. 参考链接

1、https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

2、https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

新华三官网
联系我们