【漏洞预警】Exchange Server多个0day漏洞风险提示

发布者:李雪娇发布时间:2021-03-04浏览次数:756

Exchange Server多个0day漏洞风险提示:

 

【漏洞公告】

202132日,微软MSRC官方紧急发布了Microsoft Exchange Server存在多个0day漏洞的安全公告,具体包含SSRF漏洞、不安全反序化漏洞、任意文件写入漏洞等,通过多漏洞的组合利用,恶意攻击者能实现远程代码执行效果。目前微软已经确认该0day漏洞的在野利用,漏洞对应CVE编号:CVE-2021-26855CVE-2021-26857CVE-2021-26858CVE-2021-27065,相关链接参考:https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

补丁更新说明参考:https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

根据公告,该0day漏洞已检测到在野利用,攻击痕迹显示恶意攻击者通过漏洞上传Webshell和导出邮件并进一步横向移动,到最后完成数据盗取实施了完整的攻击生命周期进程,漏洞威胁风险较大,建议尽快测试并安装安全更新补丁和完善威胁识别措施。

 

【影响范围】

Microsoft Exchange Server 0day漏洞,影响和微软已经提供补丁的的Exchange Server版本列表如下:

Exchange Server 2010 (RU 31 for Service Pack 3)

Exchange Server 2013 (CU 23)

Exchange Server 2016 (CU 19, CU 18)

Exchange Server 2019 (CU 8, CU 7)

具体列表参考:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

 

【漏洞描述】

根据分析,CVE-2021-26855,主要为SSRF(服务器端请求伪造)漏洞,恶意攻击者可以通过该漏洞进行身份验证绕过;

CVE-2021-26857,主要为不安全的反序列化漏洞,恶意攻击者通过此漏洞可以在Exchange server上以SYSTEM权限运行代码,前提条件需要管理员权限或配合其他漏洞执行;

CVE-2021-26858CVE-2021-27065,主要为任意文件写入漏洞,恶意攻击者可通过CVE-2021-26855 SSRF漏洞破坏管理员凭据来进行身份认证,认证通过后,攻击者可通过此漏洞将恶意文件写入服务器(即Webshell),并进一步实施横向移动攻击。

MSTIC针对漏洞利用后攻击活动描述参考:

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

 

除了已确认在野利用的漏洞,其他暂未发现利用的Exchange Server漏洞包括:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26412

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26854

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27078

 

【缓解措施】

高危:目前漏洞细节已经部分公开,恶意攻击者也可以通过补丁对比方式分析出漏洞触发点,并进一步开发漏洞利用代码,建议及时测试安全更新补丁并应用安装和完善威胁识别措施。

威胁识别措施(日志分析和排查):

Exchange server日志文件路径主要再以下目录:

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

CVE-2021-26855漏洞利用会在HttpProxy日志中留下痕迹,文件夹路径:

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

CVE-2021-26858漏洞利用会在OAB日志中留下痕迹,文件路径:

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log

CVE-2021-26857漏洞利用会在系统应用日志中留下痕迹,关注System.InvalidCastException消息:

Source: MSExchange Unified Messaging

EntryType: Error

Event Message Contains: System.InvalidCastException

CVE-2021-27065漏洞利用会在ECP日志中留下痕迹,文件路径:

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log

部署有Exchange server的用户可以通过排查日志,分析是否已经受到攻击。