[通告更新] 微軟發布漏洞本地緩解工具 EOMT,Microsoft Exchange 多個高危漏洞安全風險通告第六次更新
風險通告
近日,奇安信CERT監測到微軟修復了Microsoft Exchange多個高危漏洞。通過組合利用這些漏洞能夠在未經身份驗證的情況下遠程獲取目標服務器權限。其中包括CVE-2021-26855:服務端請求偽造漏洞;CVE-2021-26857:不安全的反序列化漏洞;CVE-2021-26858/CVE-2021-27065:任意文件寫入漏洞,在通過身份驗證后攻擊者可以利用該漏洞將文件寫入服務器的任意路徑。
目前,奇安信CERT已監測到漏洞詳情已在多種渠道被公開,并且已經有一些漏洞的PoC代碼片段,漏洞的現實威脅進一步上升!奇安信安全專家測試確認,組合使用漏洞無需驗證和交互即可觸發遠程代碼執行,危害極大,強烈建議客戶盡快修復漏洞或采取緩解方案并自查服務器的安全狀況。
此次更新新增內容:
更新:**更新了漏洞時間線
*新增:新增了Microsoft Exchange漏洞本地緩解工具EOMT(the Exchange On-premises Mitigation Tool)
當前漏洞狀態
| 細節是否公開 | PoC**狀態** | EXP**狀態** | 在野利用 |
|---|---|---|---|
| 是 | 已公開 | 未知 | 已發現 |
漏洞描述
近日,奇安信CERT監測到微軟修復了Microsoft Exchange多個高危漏洞。通過組合利用這些漏洞能夠在未經身份驗證的情況下遠程獲取目標服務器權限。其中包括:
CVE-2021-26855:服務端請求偽造(SSRF)漏洞,通過該漏洞,攻擊者可以發送任意HTTP請求并通過Exchange Server進行身份驗證,獲取權限。
CVE-2021-26857:是統一消息服務中的不安全反序列化漏洞。通過該此漏洞,具有管理員權限的攻擊者可以在Exchange服務器上以SYSTEM身份運行任意代碼。
CVE-2021-26858/CVE-2021-27065:任意文件寫入漏洞,在通過身份驗證后攻擊者可以利用該漏洞將文件寫入服務器的任意路徑。
目前,奇安信CERT已監測到漏洞詳情已在多種渠道被公開,并且已經有一些漏洞的PoC代碼片段,漏洞的現實威脅進一步上升!奇安信安全專家測試確認,組合使用漏洞無需驗證和交互即可觸發遠程代碼執行,危害極大,強烈建議客戶盡快修復漏洞或采取緩解方案并自查服務器的安全狀況。
漏洞時間線:
2021年3月3日早,奇安信 CERT 監測到微軟修復了 Microsoft Exchange 多個高危漏洞。通過組合利用這些漏洞能夠在未經身份驗證的情況下遠程獲取目標服務器權限。奇安信CERT發布風險通告
2021年3月3日晚,奇安信CERT發布風險通告第二次更新,增加了產品解決方案和檢測方法
2021年3月9日,奇安信CERT監測到官方發布自檢列表和安裝補丁的注意事項,奇安信CERT發布風險通告第三次更新
2021年3月10日,奇安信CERT監測發布風險通告第四次更新,增加了官方檢測方法和緩解措施
2021年3月11日,奇安信CERT監測到漏洞詳情已在多種渠道被公開,并且已經有一些漏洞的PoC代碼片段,漏洞的現實威脅進一步上升。奇安信CERT監測發布風險通告第五次更新
2021年3月16日,奇安信CERT監測到Microsoft發布了一種新的Microsoft Exchange漏洞本地緩解工具EOMT(the Exchange On-premises Mitigation Tool)
風險等級
奇安信 CERT風險評級為:高危
風險等級:藍色(一般事件)
影響范圍
CVE-2021-27065/CVE-2021-26855/CVE-2021-26858:
Microsoft Exchange Server 2019 Cumulative Update 8
Microsoft Exchange Server 2019 Cumulative Update 7
Microsoft Exchange Server 2016 Cumulative Update 19
Microsoft Exchange Server 2016 Cumulative Update 18
Microsoft Exchange Server 2013 Cumulative Update 23
CVE-2021-26857:
Microsoft Exchange Server 2019 Cumulative Update 8
Microsoft Exchange Server 2019 Cumulative Update 7
Microsoft Exchange Server 2016 Cumulative Update 19
Microsoft Exchange Server 2016 Cumulative Update 18
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2010 Service Pack 3
處置建議
安裝補丁
請參考以下鏈接安裝補丁
CVE-2021-26855:
https://msrc.microsoft.com/update-guide/vu...
CVE-2021-26857:
https://msrc.microsoft.com/update-guide/vu...
CVE-2021-26858:
https://msrc.microsoft.com/update-guide/vu...
CVE-2021-27065:
https://msrc.microsoft.com/update-guide/vu...
注意事項:
必須以管理員權限安裝這些更新補丁。
下載更新補丁后,暫不立即運行;
以管理員身份運行 cmd 命令提示符;
輸入完整的 .msp 文件路徑,回車運行。
若安裝Exchange servers到一個新的 CU 也需要確保包含2021年3月份的安全更新,否則仍然受漏洞影響。(Exchange 2016 CU 20 、 Exchange 2019 CU 9 以及更新的版本中將包含2021年3月份的安全更新)
安裝更新需要重新啟動(即使沒有提示)。直到重新啟動后,服務器才會受到保護。
在安裝這些更新其中之一后,您可能會從Microsoft Update看到針對舊CU的舊Exchange安全更新。安裝來自Microsoft update較舊的安全更新,您的服務器將受到保護(針對前面提到的4個CVE)。
如果安裝后遇到問題,請首先查看https://aka.ms/exupdatefaq。如果需要,您還可以卸載這些更新(使用“添加/刪除程序”)。
檢測方法
- 手動檢測
1. 文件檢查
以下目錄下是否存在可疑WebShell文件
IIS服務目錄:
C:\inetpub\wwwroot\aspnet_client
C:\inetpub\wwwroot\aspnet_client\system_web
Exchange Server安裝目錄:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth
C:\Exchange\FrontEnd\HttpProxy\owa\auth
可疑WebShell文件名稱:
web.aspx、help.aspx、document.aspx、errorEE.aspx、errorEW.aspx、errorFF.aspx、healthcheck.aspx、aspnet_www.aspx、aspnet_client.aspx、xx.aspx、shell.aspx、aspnet_iisstart.aspx、one.aspx等
C:\ProgramData\目錄下是否有可疑壓縮文件(*.zip *.rar *.7z)
以下目錄是否存在可疑LSASS Dump憑據文件
C:\windows\temp
C:\root
2. CVE-2021-26855漏洞利用行為檢查
在Exchange Server服務器上找到Exchange Web訪問日志所在目錄,如:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
通過PowerShell檢測可疑的利用行為:
Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter .log).FullName | Where-Object { $.AuthenticatedUser -eq ‘’ -and $.AnchorMailbox -like ‘ServerInfo~/*’ } | select DateTime, AnchorMailbox
如果檢測到利用行為,可在以下目錄進一步分析攻擊者的歷史行為
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging
3. CVE-2021-26857漏洞利用行為檢查
該漏洞的利用行為可在Windows應用事件日志中檢測到,PowerShell查詢命令如下:
Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “System.InvalidCastException“ }
4. CVE-2021-26858漏洞利用行為檢查
該漏洞的利用行為可在Exchange日志中檢測到,Windows命令行查詢命令如下:
findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog*.log”
5. CVE-2021-27065漏洞利用行為檢查
在Exchange Server服務器上找到以下目錄,如:
C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server
通過PowerShell檢測可疑的利用行為:
Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server*.log” -Pattern ‘Set-.+VirtualDirectory’
- 自動掃描
用戶可參考以下鏈接下載Microsoft安全掃描程序(MSERT.EXE)進行自動掃描:
https://msrc-blog.microsoft.com/2021/03/05...
緩解措施
可以通過將Exchange服務器與外網隔離、限制不受信任的連接與訪問,通過VPN訪問Exchange服務器來緩解這種攻擊。
還可以使用微軟給出的ExchangeMitigations.ps1腳本來應用或回滾這些緩解措施,這些緩解措施對Exchange Server功能有一些已知的影響。緩解措施可有效抵抗迄今為止我們在野外看到的攻擊,但不能保證完全緩解所有可能利用這些漏洞的情況,對于已經被入侵的服務器沒有幫助。這只能用作臨時緩解措施,直到可以對Exchange服務器進行完全修補為止,我們建議立即應用所有緩解措施。
該腳本包含緩解措施,可幫助解決以下漏洞:
CVE-2021-26855
CVE-2021-26857
CVE-2021-27065
CVE-2021-26858
該腳本將通過提升的Exchange PowerShell會話或提升的Exchange命令行管理程序執行。緩解措施的詳細信息在下面,在這里下載最新版本:
https://github.com/microsoft/CSS-Exchange/...
要求:URL重寫模塊
對于IIS 10和更高版本的URL,建議使用URL重寫模塊2.1,可以在此處下載版本2.1(x86和x64):
https://www.iis.net/downloads/microsoft/ur...
對于IIS 8.5及更低版本,建議使用Rewrite Module 2.0,可在此處下載版本2.0:
x86 – https://www.microsoft.com/zh-cn/download/d...
x64 – https://www.microsoft.com/zh-cn/download/d...
影響:如果按照建議安裝URL重寫模塊,則對Exchange功能沒有已知影響。
在IIS 8.5及更低版本上安裝URL Rewrite 2.1版可能會導致IIS和Exchange變得不穩定。如果URL重寫模塊和IIS版本之間不匹配,則ExchangeMitigatio
ns.ps1將不對CVE-2021-26855應用緩解措施。您必須卸載URL重寫模塊并重新安裝正確的版本。
- 使用方法:
在MSI**安裝中應用所有緩解措施:**
.\ExchangeMitigations.ps1 -FullPathToMSI “FullPathToMSI” -WebSiteNames “Default Web Site” -ApplyAllMitigations
在不安裝MSI**的情況下應用所有緩解措施:**
.\ExchangeMitigations.ps1 -WebSiteNames “Default Web Site” -ApplyAllMitigations -Verbose
回滾所有緩解措施:
.\ExchangeMitigations.ps1 -WebSiteNames “Default Web Site” -RollbackAllMitigation
應用多種或特定的緩解措施(共4**種):**
.\ExchangeMitigations.ps1 -WebSiteNames “Default Web Site” -ApplyECPAppPoolMitigation -ApplyOABAppPoolMitigation
回滾多個或特定緩解措施:
.\ExchangeMitigations.ps1 -WebSiteNames “Default Web Site” -RollbackECPAppPoolMitigation -RollbackOABAppPoolMitigation
- 后端**Cookie**緩解
適用于:CVE-2021-26855
描述:此緩解措施將過濾包含惡意X-AnonResource-Backend和格式不正確的X-BEResource cookie的https請求,這些惡意X-AnonResource-Backend和格式不正確的X-BEResource cookie被發現在野外的SSRF攻擊中使用。這將有助于防御觀察到的已知模式,而不是整個SSRF。
注意:升級Exchange后,將刪除IIS Rewrite規則,如果尚未安裝安全補丁,則需要重新應用緩解措施。
- 統一消息緩解
適用于:CVE-2021-26857
說明:此緩解措施將禁用Exchange中的統一消息服務。Microsoft Exchange受管可用性服務也被禁用,以防止緩解退化。
影響:禁用這些服務后,統一消息/語音郵件中斷。由于禁用了Microsoft Exchange托管可用性服務,因此也禁用了Exchange的高級監視功能。
- ECP**應用程序池緩解**
適用于: CVE-2021-27065和CVE-2021-26858
說明:此緩解措施將禁用Exchange控制面板(ECP)虛擬目錄。Microsoft Exchange受管可用性服務也被禁用,以防止緩解退化。
影響: Exchange控制面板將不再可用。在禁用Exchange控制面板的情況下,可以通過遠程PowerShell完成所有Exchange管理。由于禁用了Microsoft Exchange托管可用性服務,因此也禁用了Exchange的高級監視功能。
- OAB**應用程序池緩解**
適用于: CVE-2021-27065和CVE-2021-26858
說明:此緩解措施禁用了脫機通訊簿(OAB)應用程序池和API。Microsoft Exchange受管可用性服務也被禁用,以防止緩解退化。
*影響: *OAB將不可用,包括Outlook客戶端下載的脫機通訊簿。在某些情況和配置下,這可能會導致地址簿過時。由于禁用了Microsoft Exchange托管可用性服務,因此也禁用了Exchange的高級監視功能。
Microsoft最新發布了Microsoft Exchange漏洞本地緩解工具EOMT(the Exchange On-premises Mitigation Tool),以幫助沒有專門的IT或安全團隊的客戶來處理Microsoft Exchange Server應用安全更新。該工具是寫在PowerShell中,并通過Microsoft官方 GitHub賬戶發布于:https://github.com/microsoft/CSS-Exchange/...
工具使用方法:
下載工具后,雙擊執行 EOMT.ps1 PowerShell腳本,啟動后,該腳本將在服務器上安裝URL重寫配置來緩解CVE-2021-26855。
該工具同時包括Microsoft Safety Scanner應用程序:https://docs.microsoft.com/en-us/windows/s...
,它將掃描Exchange服務器以查找在過去的ProxyLogon攻擊中已部署的WebShell,一旦發現WebShell,Microsoft Safety Scanner應用程序將刪除后門并切斷攻擊者的訪問權限。
官方自檢列表
以下的GitHub鏈接中,官方列出了以JSON和CSV格式顯示的惡意哈希和已知的惡意文件路徑,以便用戶自檢。
產品解決方案
奇安信天眼產品解決方案
奇安信天眼新一代威脅感知系統在第一時間加入了該漏洞的檢測規則,請將規則包升級到3.0.0303.12678上版本。規則名稱:Microsoft Exchange 反序列化代碼執行漏洞(CVE-2021-26857),規則ID:0x10020BE4; 規則名:Microsoft Exchange 服務端請求偽造漏洞(CVE-2021-26855),規則ID:0x10020BE3。奇安信天眼流量探針(傳感器)升級方法:系統配置->設備升級->規則升級,選擇“網絡升級”或“本地升級”。
奇安信網神網絡數據傳感器系統產品檢測方案
奇安信網神網絡數據傳感器(NDS3000/5000/9000系列)產品,已具備該漏洞的檢測能力。規則ID為:
不安全反序列化漏洞(CVE-2021-26857):6237。
服務端請求偽造漏洞(CVE-2021-26855):6236。
任意文件寫入漏洞(CVE-2021-26858):6238,建議用戶盡快升級檢測規則庫至。2103032103以后版本并啟用該檢測規則。
NGSOC解決方案
奇安信NGSOC已支持對相關漏洞利用行為的檢測,請參照以下信息及時升級NGSOC網絡流量傳感器(探針)規則庫
| 探針規則庫版本 | ips_2103032103及以上版本 |
|---|---|
| 規則庫獲取地址 | https://ngfwup.sg.qianxin.com/offline/down... |
| 相關規則 | 規則名稱: 不安全反序列化漏洞(CVE-2021-26857)規則ID:6237規則名稱: 服務端請求偽造漏洞(CVE-2021-26855)規則ID:6236規則名稱: 任意文件寫入漏洞(CVE-2021-26858)規則ID:6238 |
參考資料
[1]https://msrc.microsoft.com/update-guide/vu...
[2]https://msrc.microsoft.com/update-guide/vu...
[3]https://msrc.microsoft.com/update-guide/vu...
[4]https://msrc.microsoft.com/update-guide/vu...
[5]https://techcommunity.microsoft.com/t5/exc...
[6]https://msrc-blog.microsoft.com/2021/03/05...
原創:奇安信 CERT
原文鏈接:https://mp.weixin.qq.com/s/_AmBPRN59i15MHv...
