【漏洞预警】Microsoft Exchange多个高危漏洞(CVE-2021-26855等)

2021年03月3日,阿里云应急响应中心监测发现微软发布了Microsoft Exchange安全更新,披露了多个高危严重漏洞。

漏洞描述

Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。2021年03月3日,微软官方发布了Microsoft Exchange安全更新,披露了多个高危严重漏洞,其中:

1、在 CVE-2021-26855 Exch阿里云安全负责人肖力ange SSRF漏洞中,攻击者可直接构造恶意请求,以Exchange server的身份发起任意H阿里云 广告TTP请求,扫描内网,并且可获取Exchange用户信息。该漏洞利用无需身份认证。

2、在 CVE-2021-26857 Unified Messaging service 反序列化漏洞中,攻击者可构造恶意请求,触发反序列化漏洞,从而执行任意代码。成功利用该漏洞需要Exchange administrator权限,或需阿里云招聘要配合其他漏洞。

3、在 CVE-2021-26858 / CVE-2021-27065 Exch阿里云ange 任意文件写入漏洞中,攻击者可结合CVE-2021-26855 SSRF漏洞,或提供正确的administrator凭证,构造恶意请求,在系统上写入任意文件。

阿里云应急响应阿里云电脑中心建议 Microsoft Exchange 用户修复漏洞。

漏洞评级

CVE-202阿里云盘1-26855 高危

CVE-2021-26857 高危

CVE-2021-26858 高危

CVE-2021-27阿里云大规模故障065 高危

影响版本

Microsoft Exchan阿里云故障公告ge 2013

Microsoft Exchange 2016

Microsof阿里云更新公告t Exchange 2019

Microsoft Exchange 2010

安全建议

1、微软官方已针对该批漏洞发布相关安全更新补丁,可按阿里云大规模故障照以下链接进行升级:

CVE-2021-26855 https://msrc.microsoft.c阿里云 广告om/update-guide/vuln阿里广告平台erabil阿里云安全方向ity/CVE-2021-26855

CVE-2021-26857 https://msrc.microsoft.com/upda阿里云安全方向te-guide/vulnerability/CVE-2021-26855

CVE-2021-26858 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-27065阿里云公网出流量 https://msrc.microsoft.com/阿里云安全顾问update-guide/vulnerability/CVE-2021-26855

2、若无法直接升级,可阿里云服务器今天故障参考如下措施来检测是否受到攻击:

针对CVE-阿里云是什么意思2021-26855 Exchange SSRF漏洞,可以通过以下Exchange H阿里云公告ttpProxy日志进行检测:

%阿里云kali更新源PROGRAMFILES%MicrosoftExchange ServerV15Logging阿里云HttpProxy

通过以下Powershe阿里云安全技术ll可直接进行日志阿里云安全负责人肖力检测,并检查是否受到攻击:

I阿里云kali更新源mport-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingHttpProxy” -Filter ‘*.log’).FullName | Where-Object {  $_.AuthenticatedUser -eq阿里云广告联盟 ” -a阿里云大面积故障公告nd $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select阿里云安全公告 DateTime, AnchorMailbox

如果检测到了入侵,可以通过以下目录获取攻击者采取了哪些活动

%PROGRAMFILES%MicrosoftExchange Ser阿里云服务器今天故障verV15Logging

针对 CVE-2021-26857 Unified Messaging service 反序列化漏洞

该漏洞单独利用难度稍高,可利用以下命令检测日志条目,并检查是否受到攻击。

Get-EventLog -阿里云维护广告LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Mes阿里云是什么意思sage -like阿里云招聘阿里广告平台*System.InvalidCastException*” }

针对 CVE-2021-26858 Exchange 任意文件写入漏洞

日志目录:C:ProgramFi阿里云故障公告lesMicrosoftExchangeServerV15LoggingOABGenerato阿里云广告联盟rLog

可通过以下命令进行快速浏览,并检查是否受到攻击:

findstr /snip /c:”Downloa阿里云安全合作d failed and temporary f阿里云安全负责人肖力i阿里云是什么意思le” “%PROGRAMFILE阿里云电脑S%MicrosoftExchange ServerV15LoggingOABGenera阿里云服务器故障torLog*.log”

针对 CVE-阿里云公告2021-27065 Exchange 任意文件写入漏洞:

通过以下powershell命令进行日志检测,并检查是否遭到攻击:

Select-String -Path “$env:PRO阿里云是什么意思GRAMFILESMicrosoftExchange Server阿里云kali更新源V15Loggin

相关链接

1、https://msrc-blog.microsoft.com/2021/03/02/multi阿里云公网出流量ple-security-updates-released-for-exchange-server/

2、https://www.microsoft.com/security/blog/2021/03/02/hafnium阿里云-targeting-exchan阿里云kali源ge-servers/

阿里云云安全中心应急漏洞模块已支持对该漏洞一键检测

我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时通过工单或服务电话9518阿里云电脑7联系反馈

阿里云应急响应中心

2021.03.03