金彩汇

金彩汇 - 首页

中文

金彩汇 - 首页

金彩汇 - 首页

登录

金彩汇 - 首页

产品

< 返回主菜单

产品

解决规划

< 返回主菜单

解决规划中心

行业

服务支持

合作同伴

关于金彩汇

投资者关系

返回主菜单

选择区域/说话

金彩汇 - 首页

微软 Exchange服务器多个高危缝隙公告

金彩汇 - 首页

颁布功夫：2021-03-04

金彩汇 - 首页

2021年3月3日，金彩汇网络安全应急团队追踪到微软于2021年3月2日针对Exchange服务器颁布了多个高危缝隙的风险公告，缝隙编号为CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065，在CVSS中对这些缝隙给出了比力高的评分。威胁行动者利用这些缝隙接见本地Exchange服务器，从而能够接见电子邮件帐户，并允许装置其他恶意软件以推进对受害者环境的持久接见。

对此，金彩汇网络安全应急团队建议宽大用户实时将Exchange升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭逢黑客攻击。

影响版本

Exchange server：2010/2013/2016/2019
Exchange online：不受影响。

缝隙详情

1. CVE-2021-26855: 服务端要求伪造缝隙

Exchange 服务器端要求伪造（SSRF）缝隙，利用此缝隙的攻击者可能发送肆意 HTTP 要求并通过 Exchange Server 进行身份验证。

2. CVE-2021-26857: 序列化缝隙

Exchange 反序列化缝隙，该缝隙必要治理员权限，利用此缝隙的攻击者能够在 Exchange 服务器上以 SYSTEM 身份运行代码。

3. CVE-2021-26858: 肆意文件写入缝隙

Exchange 中身份验证后的肆意文件写入缝隙。攻击者通过 Exchange 服务器进行身份验证后，能够利用此缝隙将文件写入服务器上的任何蹊径。该缝隙能够共同 CVE-2021-26855 SSRF 缝隙进行组合攻击。

4. CVE-2021-27065: 肆意文件写入缝隙

Exchange 中身份验证后的肆意文件写入缝隙。攻击者通过 Exchange 服务器进行身份验证后，能够利用此缝隙将文件写入服务器上的任何蹊径。该缝隙能够共同 CVE-2021-26855 SSRF 缝隙进行组合攻击。

安全建议

微软已颁布有关安全更新，用户可跟进以下链接进行升级:

CVE-2021-26855: https://msrc.microsoft.com/update-guide/vulnerability/CVE2021-26855

CVE-2021-26857: https://msrc.microsoft.com/update-guide/vulnerability/CVE2021-26857
CVE-2021-26858: https://msrc.microsoft.com/update-guide/vulnerability/CVE2021-26858
CVE-2021-27065: https://msrc.microsoft.com/update-guide/vulnerability/CVE2021-27065

攻击检测建议

01 CVE-2021-26855

能够通过以下Exchange HttpProxy日志进行检测：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

能够通过在日志条款中搜索AuthenticatedUser是否为空并且AnchorMailbox是否蕴含ServerInfo?* / *模式鉴别缝隙利用。以下Powershell可直接进行日志检测，并查抄是否受到攻击：

Import-Csv-Path(Get-ChildItem-Recurse-Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy”- Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

若是检测到了入侵，能够通过检测AnchorMailbox蹊径中指定特定利用法式的日志来获取攻击者采取了哪些活动：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

02 CVE-2021-26858

通过Exchange日志文件检测CVE-2021-26858利用：

日志目录：
C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog

可通过以下号令进行急剧浏览，并查抄是否受到攻击：

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”

03 CVE-2021-26857

通过Windows利用法式事务日志检测CVE-2021-26857利用，利用此反序列化谬误将创建拥有以下属性的利用法式事务：

起源：MSExchange统一新闻
EntryType：谬误
事务新闻蕴含：System.InvalidCastExceptio

该缝隙单独利用难度稍高，可利用以下号令在利用法式事务日志中查问这些日志条款，并查抄是否受到攻击。

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

04 CVE-2021-27065

通过以下Exchange日志文件检测CVE-2021-27065利用，

C：\ Program Files \ Microsoft \ Exchange Server \ V15 \ Logging \ ECP \ Server

所有Set- <AppName> VirtualDirectory属性都不应蕴含剧本。InternalUrl和ExternalUrl应该仅是有效Uris。

通过powershell号令进行日志检测，并查抄是否遭到攻击:

Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’

安全防护缓解

攻击者利用上述缝隙能够进行webshell、恶意文件上传以及恶意网络通讯行为。为缓解攻击者利用这些缝隙进行后续的攻击行动，建议客户实时选取安全网关产品进行实时的攻击防护与缓解。

产品	注明
RG-APT高级威胁检测系统	金彩汇高级威胁检测系统（RG-APT）基于“文件+流量”双维度分析架构。通过独有的八大主题引擎，综合威胁谍报、行为模型、机械进建、虚构化沙箱和安全特点库等检测技术覆盖式发现高级未知威胁.
RG-WALL系列下一代防火墙	下一代防火墙结合防病毒以及威胁谍报检测。检测主流僵木蠕，apt样本。
RG-BDS-TSP	金彩汇NFA探针系统，结合最新的威胁谍报，实时甄别网络中传输文件，判断潜在病毒。

团队介绍

金彩汇网络CERT安全应急响应团队，跟踪最新互联网威胁事务，针对最新安全缝隙，APT攻击以及僵尸网络家族做实时跟踪和分析；为产品、客户提供实时、有效的安全防护战术与解决规划。

金彩汇“网络+安全”主张将网络设备的安全能力充分阐扬，网络设备、安全设备与安全平台智能联动，握别安全孤岛，组成整网联动的安全保险系统，实现防护、安全预测、分析和响应等安全问题自动化全流程关环。

金彩汇 - 首页
?如您必要金彩汇安全，请留下您的联系方式

关注金彩汇

: 关注金彩汇官网微信
随时相识公司最新动态

成功案例

查看更多

最新动态

查看更多

有关视频

金彩汇 - 首页

查看更多

售前征询
售后服务
定见反馈

金彩汇 - 首页

返回顶部

收起

文档AI副手

文档评价

该资料是否解决了您的问题？

您对当前页面的中意度若何？

不咋滴

极度好

您中意的原因是（多�。�？

您对文档是否还有其它的问题或建议？

为尽快解决问题，请您留下联系方式以便回复

邮箱

手机号

ev-bg

感激您的反�。�

金彩汇 - 首页

金彩汇 - 首页

金彩汇 - 首页

请选择服务项目

售前征询

售后服务

定见反馈

更多联系方式

【网站地图】