2021年3月3日，微軟公司披露Exchange系統(tǒng)存在多個(gè)高風(fēng)險(xiǎn)的漏洞，包括：CVE-2021-26855服務(wù)端請(qǐng)求偽造漏洞、CVE-2021-26857序列化漏洞、CVE-2021-26858和CVE-2021-27065任意文件寫(xiě)入漏洞。

建議各用戶(hù)做好系統(tǒng)資產(chǎn)安全自查以及防御工作，防止非法入侵事件的發(fā)生。

【漏洞描述】

1. CVE-2021-26855服務(wù)端請(qǐng)求偽造漏洞

無(wú)需身份驗(yàn)證，攻擊者可對(duì)Exchange Server的發(fā)起任意HTTP請(qǐng)求，從而掃描內(nèi)網(wǎng)并可獲取Exchange用戶(hù)信息。

2．CVE-2021-26857反序列化漏洞

在擁有Exchange 管理員權(quán)限及利用其他漏洞情況下，攻擊者通過(guò)構(gòu)造惡意請(qǐng)求可觸發(fā)反序列化漏洞，對(duì)系統(tǒng)執(zhí)行任意代碼。

3．CVE-2021-26858和CVE-2021-27065任意文件寫(xiě)入漏洞

擁有Exchange 管理員權(quán)限或結(jié)合CVE-2021-26855漏洞，通過(guò)構(gòu)造惡意請(qǐng)求，可對(duì)系統(tǒng)寫(xiě)入任意文件。

【影響版本】

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

【修復(fù)方案】

對(duì)應(yīng)的漏洞，微軟已發(fā)布相關(guān)安全補(bǔ)丁，各用戶(hù)及時(shí)進(jìn)行升級(jí):

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

【監(jiān)測(cè)防范】

可通過(guò)如下監(jiān)測(cè)方法，來(lái)判斷系統(tǒng)是否受到對(duì)應(yīng)漏洞的惡意攻擊：

1.CVE-2021-26855通過(guò)Exchange HttpProxy日志檢測(cè)：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

通過(guò)PowerShell可直接進(jìn)行日志檢測(cè)以及檢查是否受到攻擊：

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object {  $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

以下目錄可查看攻擊者的具體操作：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

2. CVE-2021-26857反序列化漏洞

利用以下命令檢測(cè)日志信息，判斷是否受到攻擊：

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

3.CVE-2021-26858任意文件寫(xiě)入漏洞日志

目錄如下：

C:\ProgramFiles\Microsoft\ExchangeServer\V15\Logging\OABGeneratorLog

利用以下命令檢測(cè)日志信息，判斷是否受到攻擊:

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”

4. CVE-2021-27065任意文件寫(xiě)入漏洞

通過(guò)PowerShell命令進(jìn)行日志檢測(cè):

Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Loggin

【參考資料】

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/