微软Exchange多个高危漏洞通告
報告編號:B6-2021-030301
報告來源:360CERT
報告作者:360CERT
更新日期:2021-03-03
0x01事件簡述
2021年03月03日,360CERT監測發現微軟發布了Exchange 多個高危漏洞的風險通告,該漏洞編號為CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065,事件等級:嚴重,事件評分:9.8。
對此,360CERT建議廣大用戶及時將exchange升級到最新版本。與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
0x02風險等級
360CERT對該事件的評定結果如下
| 威脅等級 | 嚴重 |
| 影響面 | 廣泛 |
| 360CERT評分 | 9.8 |
0x03漏洞詳情
CVE-2021-26855: 服務端請求偽造漏洞
Exchange服務器端請求偽造(SSRF)漏洞,利用此漏洞的攻擊者能夠發送任意HTTP請求并通過Exchange Server進行身份驗證。
CVE-2021-26857: 序列化漏洞
Exchange反序列化漏洞,該漏洞需要管理員權限,利用此漏洞的攻擊者可以在Exchange服務器上以SYSTEM身份運行代碼。
CVE-2021-26858/CVE-2021-27065: 任意文件寫入漏洞
Exchange中身份驗證后的任意文件寫入漏洞。攻擊者通過Exchange服務器進行身份驗證后,可以利用此漏洞將文件寫入服務器上的任何路徑。該漏洞可以配合CVE-2021-26855 SSRF漏洞進行組合攻擊。
0x04影響版本
- microsoft:exchange: 2013/2016/2019/2010
0x05修復建議
通用修補建議
微軟已發布相關安全更新,用戶可跟進以下鏈接進行升級:
CVE-2021-26855:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-26857:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-26858:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-27065:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
臨時修補建議
CVE-2021-26855:
可以通過以下Exchange HttpProxy日志進行檢測:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
通過以下Powershell可直接進行日志檢測,并檢查是否受到攻擊:
Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox如果檢測到了入侵,可以通過以下目錄獲取攻擊者采取了哪些活動
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging
CVE-2021-26858:
日志目錄:C:\ProgramFiles\Microsoft\ExchangeServer\V15\Logging\OABGeneratorLog
可通過以下命令進行快速瀏覽,并檢查是否受到攻擊:
findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”CVE-2021-26857:
該漏洞單獨利用難度稍高,可利用以下命令檢測日志條目,并檢查是否受到攻擊。
Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }CVE-2021-27065:
通過以下powershell命令進行日志檢測,并檢查是否遭到攻擊:
Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’0x06時間線
2021-03-02 微軟發布漏洞報告
2021-03-03 360CERT發布通告
0x07參考鏈接
1、 HAFNIUM targeting Exchange Servers with 0-day exploits
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
0x08特制報告下載鏈接
一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務,現360CERT正式推出安全通告特制版報告,以便用戶做資料留存、傳閱研究與查詢驗證。用戶可直接通過以下鏈接進行特制報告的下載。
微軟Exchange多個高危漏洞通告
http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】微軟Exchange多個高危漏洞通告.pdf
若有訂閱意向與定制需求請掃描下方二維碼進行信息填寫,或發送郵件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手機號、地區、郵箱地址。
轉載自https://mp.weixin.qq.com/s/4s66qdvVbUEzz-w9RcSUIg
總結
以上是生活随笔為你收集整理的微软Exchange多个高危漏洞通告的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 视频2-视频文件解析和格式说明
- 下一篇: egret的WebView实现(基于eg