飘云阁安全论坛

 找回密码
 快速注册

QQ登录

只需一步,快速开始

查看: 576|回复: 1

[安全情报] 微软Exchange多个高危漏洞

[复制链接]
  • TA的每日心情
    开心
    2019-3-15 11:00
  • 签到天数: 262 天

    [LV.8]以坛为家I

    发表于 2021-3-3 09:26:34 | 显示全部楼层 |阅读模式
    本帖最后由 梦幻的彼岸 于 2021-3-3 09:31 编辑

    报告编号:B6-2021-030301
    报告来源:360CERT
    报告作者:360CERT
    更新日期:2021-03-03

    0x01事件简述
    2021年03月03日,360CERT监测发现微软发布了Exchange 多个高危漏洞的风险通告,该漏洞编号为CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065,事件等级:严重,事件评分:9.8
    对此,360CERT建议广大用户及时将exchange升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

    0x02风险等级
    360CERT对该事件的评定结果如下
    评定方式
    等级
    威胁等级
    严重
    影响面
    广泛
    360CERT评分
    9.8

    0x03漏洞详情CVE-2021-26855: 服务端请求伪造漏洞
    Exchange服务器端请求伪造(SSRF)漏洞,利用此漏洞的攻击者能够发送任意HTTP请求并通过Exchange Server进行身份验证。
    CVE-2021-26857: 序列化漏洞
    Exchange反序列化漏洞,该漏洞需要管理员权限,利用此漏洞的攻击者可以在Exchange服务器上以SYSTEM身份运行代码。
    CVE-2021-26858/CVE-2021-27065: 任意文件写入漏洞
    Exchange中身份验证后的任意文件写入漏洞。攻击者通过Exchange服务器进行身份验证后,可以利用此漏洞将文件写入服务器上的任何路径。该漏洞可以配合CVE-2021-26855 SSRF漏洞进行组合攻击。

    0x04影响版本
    - microsoft:exchange: 2013/2016/2019/2010

    0x05修复建议通用修补建议
    微软已发布相关安全更新,用户可跟进以下链接进行升级:
    临时修补建议CVE-2021-26855:
    可以通过以下Exchange HttpProxy日志进行检测:
    %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
    通过以下Powershell可直接进行日志检测,并检查是否受到攻击:
    [AppleScript] 纯文本查看 复制代码
    Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object {  $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox
    如果检测到了入侵,可以通过以下目录获取攻击者采取了哪些活动
    %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging
    CVE-2021-26858:
    日志目录:C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog
    可通过以下命令进行快速浏览,并检查是否受到攻击:
    [AppleScript] 纯文本查看 复制代码
    findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”
    CVE-2021-26857:
    该漏洞单独利用难度稍高,可利用以下命令检测日志条目,并检查是否受到攻击。
    [AppleScript] 纯文本查看 复制代码
    Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }
    CVE-2021-27065:
    通过以下powershell命令进行日志检测,并检查是否遭到攻击:
    [AppleScript] 纯文本查看 复制代码
    Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’

    0x06时间线
    2021-03-02 微软发布漏洞报告
    2021-03-03 360CERT发布通告

    0x07参考链接
    0x08特制报告下载链接
    一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。
    微软Exchange多个高危漏洞通告
  • TA的每日心情
    开心
    10 小时前
  • 签到天数: 259 天

    [LV.8]以坛为家I

    发表于 2021-3-7 07:34:44 | 显示全部楼层
    谢谢分享,楼主辛苦了
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 快速注册

    本版积分规则

    快速回复 返回顶部 返回列表