首頁安全服務安全公告
正文

關于微軟Exchange多個高危漏洞的安全通告

發布時間:2021-03-03 08:03   浏覽次數:5738

202133日,微軟公司披露Exchange系統存在多個高風險的漏洞,包括:CVE-2021-26855服務端請求僞造漏洞、CVE-2021-26857序列化漏洞、CVE-2021-26858CVE-2021-27065任意文件寫入漏洞。

建議各用戶做好系統資(zī)産安全自查以及防禦工(gōng)作,防止非法入侵事件的發生(shēng)。

 

【漏洞描述】

1. CVE-2021-26855服務端請求僞造漏洞

無需身份驗證,攻擊者可對Exchange Server的發起任意HTTP請求,從而掃描内網并可獲取Exchange用戶信息。

 

2CVE-2021-26857反序列化漏洞

在擁有Exchange 管理員(yuán)權限及利用其他漏洞情況下(xià),攻擊者通過構造惡意請求可觸發反序列化漏洞,對系統執行任意代碼。

 

3CVE-2021-26858CVE-2021-27065任意文件寫入漏洞

擁有Exchange 管理員(yuán)權限或結合CVE-2021-26855漏洞,通過構造惡意請求,可對系統寫入任意文件。

 

【影響版本】

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

 

【修複方案】

對應的漏洞,微軟已發布相關安全補丁,各用戶及時進行升級:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

 

監測防範】

可通過如下(xià)監測方法,來判斷系統是否受到對應漏洞的惡意攻擊:

1.CVE-2021-26855通過Exchange HttpProxy日志(zhì)檢測:

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

 

通過PowerShell可直接進行日志(zhì)檢測以及檢查是否受到攻擊:

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy-Filter *.log).FullName | Where-Object {  $_.AuthenticatedUser -eq -and $_.AnchorMailbox -like ServerInfo~*/*} | select DateTime, AnchorMailbox

 

以下(xià)目錄可查看攻擊者的具體(tǐ)操作:

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

 

2. CVE-2021-26857反序列化漏洞

利用以下(xià)命令檢測日志(zhì)信息,判斷是否受到攻擊:

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging-EntryType Error | Where-Object { $_.Message -like *System.InvalidCastException*}

 

3.CVE-2021-26858任意文件寫入漏洞日志(zhì)

目錄如下(xià):

C:\ProgramFiles\Microsoft\ExchangeServer\V15\Logging\OABGeneratorLog

 

利用以下(xià)命令檢測日志(zhì)信息,判斷是否受到攻擊:

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log

 

4. CVE-2021-27065任意文件寫入漏洞

通過PowerShell命令進行日志(zhì)檢測:

Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Loggin

 

【參考資(zī)料】

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/


莆田市巨訊網絡信息技術有限公司 版權所有  聯系: hxzhb@heidun.net © 1999-2023 Fujian Strait Information Corporation. All Rights Reserved.

返回頂部