[通告更新] 微软发布漏洞本地缓解工具 EOMT,Microsoft Exchange 多个高危漏洞安全风险通告第六次更新
风险通告
近日,奇安信CERT监测到微软修复了Microsoft Exchange多个高危漏洞。通过组合利用这些漏洞能够在未经身份验证的情况下远程获取目标服务器权限。其中包括CVE-2021-26855:服务端请求伪造漏洞;CVE-2021-26857:不安全的反序列化漏洞;CVE-2021-26858/CVE-2021-27065:任意文件写入漏洞,在通过身份验证后攻击者可以利用该漏洞将文件写入服务器的任意路径。
目前,奇安信CERT已监测到漏洞详情已在多种渠道被公开,并且已经有一些漏洞的PoC代码片段,漏洞的现实威胁进一步上升!奇安信安全专家测试确认,组合使用漏洞无需验证和交互即可触发远程代码执行,危害极大,强烈建议客户尽快修复漏洞或采取缓解方案并自查服务器的安全状况。
此次更新新增内容:
更新:**更新了漏洞时间线
*新增:新增了Microsoft Exchange漏洞本地缓解工具EOMT(the Exchange On-premises Mitigation Tool)
当前漏洞状态
| 细节是否公开 | PoC**状态** | EXP**状态** | 在野利用 |
|---|---|---|---|
| 是 | 已公开 | 未知 | 已发现 |
漏洞描述
近日,奇安信CERT监测到微软修复了Microsoft Exchange多个高危漏洞。通过组合利用这些漏洞能够在未经身份验证的情况下远程获取目标服务器权限。其中包括:
CVE-2021-26855:服务端请求伪造(SSRF)漏洞,通过该漏洞,攻击者可以发送任意HTTP请求并通过Exchange Server进行身份验证,获取权限。
CVE-2021-26857:是统一消息服务中的不安全反序列化漏洞。通过该此漏洞,具有管理员权限的攻击者可以在Exchange服务器上以SYSTEM身份运行任意代码。
CVE-2021-26858/CVE-2021-27065:任意文件写入漏洞,在通过身份验证后攻击者可以利用该漏洞将文件写入服务器的任意路径。
目前,奇安信CERT已监测到漏洞详情已在多种渠道被公开,并且已经有一些漏洞的PoC代码片段,漏洞的现实威胁进一步上升!奇安信安全专家测试确认,组合使用漏洞无需验证和交互即可触发远程代码执行,危害极大,强烈建议客户尽快修复漏洞或采取缓解方案并自查服务器的安全状况。
漏洞时间线:
2021年3月3日早,奇安信 CERT 监测到微软修复了 Microsoft Exchange 多个高危漏洞。通过组合利用这些漏洞能够在未经身份验证的情况下远程获取目标服务器权限。奇安信CERT发布风险通告
2021年3月3日晚,奇安信CERT发布风险通告第二次更新,增加了产品解决方案和检测方法
2021年3月9日,奇安信CERT监测到官方发布自检列表和安装补丁的注意事项,奇安信CERT发布风险通告第三次更新
2021年3月10日,奇安信CERT监测发布风险通告第四次更新,增加了官方检测方法和缓解措施
2021年3月11日,奇安信CERT监测到漏洞详情已在多种渠道被公开,并且已经有一些漏洞的PoC代码片段,漏洞的现实威胁进一步上升。奇安信CERT监测发布风险通告第五次更新
2021年3月16日,奇安信CERT监测到Microsoft发布了一种新的Microsoft Exchange漏洞本地缓解工具EOMT(the Exchange On-premises Mitigation Tool)
风险等级
奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)
影响范围
CVE-2021-27065/CVE-2021-26855/CVE-2021-26858:
Microsoft Exchange Server 2019 Cumulative Update 8
Microsoft Exchange Server 2019 Cumulative Update 7
Microsoft Exchange Server 2016 Cumulative Update 19
Microsoft Exchange Server 2016 Cumulative Update 18
Microsoft Exchange Server 2013 Cumulative Update 23
CVE-2021-26857:
Microsoft Exchange Server 2019 Cumulative Update 8
Microsoft Exchange Server 2019 Cumulative Update 7
Microsoft Exchange Server 2016 Cumulative Update 19
Microsoft Exchange Server 2016 Cumulative Update 18
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2010 Service Pack 3
处置建议
安装补丁
请参考以下链接安装补丁
CVE-2021-26855:
https://msrc.microsoft.com/update-guide/vu...
CVE-2021-26857:
https://msrc.microsoft.com/update-guide/vu...
CVE-2021-26858:
https://msrc.microsoft.com/update-guide/vu...
CVE-2021-27065:
https://msrc.microsoft.com/update-guide/vu...
注意事项:
必须以管理员权限安装这些更新补丁。
下载更新补丁后,暂不立即运行;
以管理员身份运行 cmd 命令提示符;
输入完整的 .msp 文件路径,回车运行。
若安装Exchange servers到一个新的 CU 也需要确保包含2021年3月份的安全更新,否则仍然受漏洞影响。(Exchange 2016 CU 20 、 Exchange 2019 CU 9 以及更新的版本中将包含2021年3月份的安全更新)
安装更新需要重新启动(即使没有提示)。直到重新启动后,服务器才会受到保护。
在安装这些更新其中之一后,您可能会从Microsoft Update看到针对旧CU的旧Exchange安全更新。安装来自Microsoft update较旧的安全更新,您的服务器将受到保护(针对前面提到的4个CVE)。
如果安装后遇到问题,请首先查看https://aka.ms/exupdatefaq。如果需要,您还可以卸载这些更新(使用“添加/删除程序”)。
检测方法
- 手动检测
1. 文件检查
以下目录下是否存在可疑WebShell文件
IIS服务目录:
C:\inetpub\wwwroot\aspnet_client
C:\inetpub\wwwroot\aspnet_client\system_web
Exchange Server安装目录:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth
C:\Exchange\FrontEnd\HttpProxy\owa\auth
可疑WebShell文件名称:
web.aspx、help.aspx、document.aspx、errorEE.aspx、errorEW.aspx、errorFF.aspx、healthcheck.aspx、aspnet_www.aspx、aspnet_client.aspx、xx.aspx、shell.aspx、aspnet_iisstart.aspx、one.aspx等
C:\ProgramData\目录下是否有可疑压缩文件(*.zip *.rar *.7z)
以下目录是否存在可疑LSASS Dump凭据文件
C:\windows\temp
C:\root
2. CVE-2021-26855漏洞利用行为检查
在Exchange Server服务器上找到Exchange Web访问日志所在目录,如:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
通过PowerShell检测可疑的利用行为:
Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter .log).FullName | Where-Object { $.AuthenticatedUser -eq ‘’ -and $.AnchorMailbox -like ‘ServerInfo~/*’ } | select DateTime, AnchorMailbox
如果检测到利用行为,可在以下目录进一步分析攻击者的历史行为
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging
3. CVE-2021-26857漏洞利用行为检查
该漏洞的利用行为可在Windows应用事件日志中检测到,PowerShell查询命令如下:
Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “System.InvalidCastException“ }
4. CVE-2021-26858漏洞利用行为检查
该漏洞的利用行为可在Exchange日志中检测到,Windows命令行查询命令如下:
findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog*.log”
5. CVE-2021-27065漏洞利用行为检查
在Exchange Server服务器上找到以下目录,如:
C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server
通过PowerShell检测可疑的利用行为:
Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server*.log” -Pattern ‘Set-.+VirtualDirectory’
- 自动扫描
用户可参考以下链接下载Microsoft安全扫描程序(MSERT.EXE)进行自动扫描:
https://msrc-blog.microsoft.com/2021/03/05...
缓解措施
可以通过将Exchange服务器与外网隔离、限制不受信任的连接与访问,通过VPN访问Exchange服务器来缓解这种攻击。
还可以使用微软给出的ExchangeMitigations.ps1脚本来应用或回滚这些缓解措施,这些缓解措施对Exchange Server功能有一些已知的影响。缓解措施可有效抵抗迄今为止我们在野外看到的攻击,但不能保证完全缓解所有可能利用这些漏洞的情况,对于已经被入侵的服务器没有帮助。这只能用作临时缓解措施,直到可以对Exchange服务器进行完全修补为止,我们建议立即应用所有缓解措施。
该脚本包含缓解措施,可帮助解决以下漏洞:
CVE-2021-26855
CVE-2021-26857
CVE-2021-27065
CVE-2021-26858
该脚本将通过提升的Exchange PowerShell会话或提升的Exchange命令行管理程序执行。缓解措施的详细信息在下面,在这里下载最新版本:
https://github.com/microsoft/CSS-Exchange/...
要求:URL重写模块
对于IIS 10和更高版本的URL,建议使用URL重写模块2.1,可以在此处下载版本2.1(x86和x64):
https://www.iis.net/downloads/microsoft/ur...
对于IIS 8.5及更低版本,建议使用Rewrite Module 2.0,可在此处下载版本2.0:
x86 – https://www.microsoft.com/zh-cn/download/d...
x64 – https://www.microsoft.com/zh-cn/download/d...
影响:如果按照建议安装URL重写模块,则对Exchange功能没有已知影响。
在IIS 8.5及更低版本上安装URL Rewrite 2.1版可能会导致IIS和Exchange变得不稳定。如果URL重写模块和IIS版本之间不匹配,则ExchangeMitigatio
ns.ps1将不对CVE-2021-26855应用缓解措施。您必须卸载URL重写模块并重新安装正确的版本。
- 使用方法:
在MSI**安装中应用所有缓解措施:**
.\ExchangeMitigations.ps1 -FullPathToMSI “FullPathToMSI” -WebSiteNames “Default Web Site” -ApplyAllMitigations
在不安装MSI**的情况下应用所有缓解措施:**
.\ExchangeMitigations.ps1 -WebSiteNames “Default Web Site” -ApplyAllMitigations -Verbose
回滚所有缓解措施:
.\ExchangeMitigations.ps1 -WebSiteNames “Default Web Site” -RollbackAllMitigation
应用多种或特定的缓解措施(共4**种):**
.\ExchangeMitigations.ps1 -WebSiteNames “Default Web Site” -ApplyECPAppPoolMitigation -ApplyOABAppPoolMitigation
回滚多个或特定缓解措施:
.\ExchangeMitigations.ps1 -WebSiteNames “Default Web Site” -RollbackECPAppPoolMitigation -RollbackOABAppPoolMitigation
- 后端**Cookie**缓解
适用于:CVE-2021-26855
描述:此缓解措施将过滤包含恶意X-AnonResource-Backend和格式不正确的X-BEResource cookie的https请求,这些恶意X-AnonResource-Backend和格式不正确的X-BEResource cookie被发现在野外的SSRF攻击中使用。这将有助于防御观察到的已知模式,而不是整个SSRF。
注意:升级Exchange后,将删除IIS Rewrite规则,如果尚未安装安全补丁,则需要重新应用缓解措施。
- 统一消息缓解
适用于:CVE-2021-26857
说明:此缓解措施将禁用Exchange中的统一消息服务。Microsoft Exchange受管可用性服务也被禁用,以防止缓解退化。
影响:禁用这些服务后,统一消息/语音邮件中断。由于禁用了Microsoft Exchange托管可用性服务,因此也禁用了Exchange的高级监视功能。
- ECP**应用程序池缓解**
适用于: CVE-2021-27065和CVE-2021-26858
说明:此缓解措施将禁用Exchange控制面板(ECP)虚拟目录。Microsoft Exchange受管可用性服务也被禁用,以防止缓解退化。
影响: Exchange控制面板将不再可用。在禁用Exchange控制面板的情况下,可以通过远程PowerShell完成所有Exchange管理。由于禁用了Microsoft Exchange托管可用性服务,因此也禁用了Exchange的高级监视功能。
- OAB**应用程序池缓解**
适用于: CVE-2021-27065和CVE-2021-26858
说明:此缓解措施禁用了脱机通讯簿(OAB)应用程序池和API。Microsoft Exchange受管可用性服务也被禁用,以防止缓解退化。
*影响: *OAB将不可用,包括Outlook客户端下载的脱机通讯簿。在某些情况和配置下,这可能会导致地址簿过时。由于禁用了Microsoft Exchange托管可用性服务,因此也禁用了Exchange的高级监视功能。
Microsoft最新发布了Microsoft Exchange漏洞本地缓解工具EOMT(the Exchange On-premises Mitigation Tool),以帮助没有专门的IT或安全团队的客户来处理Microsoft Exchange Server应用安全更新。该工具是写在PowerShell中,并通过Microsoft官方 GitHub账户发布于:https://github.com/microsoft/CSS-Exchange/...
工具使用方法:
下载工具后,双击执行 EOMT.ps1 PowerShell脚本,启动后,该脚本将在服务器上安装URL重写配置来缓解CVE-2021-26855。
该工具同时包括Microsoft Safety Scanner应用程序:https://docs.microsoft.com/en-us/windows/s...
,它将扫描Exchange服务器以查找在过去的ProxyLogon攻击中已部署的WebShell,一旦发现WebShell,Microsoft Safety Scanner应用程序将删除后门并切断攻击者的访问权限。
官方自检列表
以下的GitHub链接中,官方列出了以JSON和CSV格式显示的恶意哈希和已知的恶意文件路径,以便用户自检。
产品解决方案
奇安信天眼产品解决方案
奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0303.12678上版本。规则名称:Microsoft Exchange 反序列化代码执行漏洞(CVE-2021-26857),规则ID:0x10020BE4; 规则名:Microsoft Exchange 服务端请求伪造漏洞(CVE-2021-26855),规则ID:0x10020BE3。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:
不安全反序列化漏洞(CVE-2021-26857):6237。
服务端请求伪造漏洞(CVE-2021-26855):6236。
任意文件写入漏洞(CVE-2021-26858):6238,建议用户尽快升级检测规则库至。2103032103以后版本并启用该检测规则。
NGSOC解决方案
奇安信NGSOC已支持对相关漏洞利用行为的检测,请参照以下信息及时升级NGSOC网络流量传感器(探针)规则库
| 探针规则库版本 | ips_2103032103及以上版本 |
|---|---|
| 规则库获取地址 | https://ngfwup.sg.qianxin.com/offline/down... |
| 相关规则 | 规则名称: 不安全反序列化漏洞(CVE-2021-26857)规则ID:6237规则名称: 服务端请求伪造漏洞(CVE-2021-26855)规则ID:6236规则名称: 任意文件写入漏洞(CVE-2021-26858)规则ID:6238 |
参考资料
[1]https://msrc.microsoft.com/update-guide/vu...
[2]https://msrc.microsoft.com/update-guide/vu...
[3]https://msrc.microsoft.com/update-guide/vu...
[4]https://msrc.microsoft.com/update-guide/vu...
[5]https://techcommunity.microsoft.com/t5/exc...
[6]https://msrc-blog.microsoft.com/2021/03/05...
原创:奇安信 CERT
原文链接:https://mp.weixin.qq.com/s/_AmBPRN59i15MHv...
