微软Exchange多个高危漏洞通告
报告编号:B6-2021-030301
报告来源:360CERT
报告作者:360CERT
更新日期:2021-03-03
0x01事件简述
2021年03月03日,360CERT监测发现微软
发布了Exchange 多个高危漏洞
的风险通告,该漏洞编号为CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065
,事件等级:严重
,事件评分:9.8
。
对此,360CERT建议广大用户及时将exchange
升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x02风险等级
360CERT对该事件的评定结果如下
评定方式 | 等级 |
---|---|
威胁等级 | 严重 |
影响面 | 广泛 |
360CERT评分 | 9.8 |
0x03漏洞详情
CVE-2021-26855: 服务端请求伪造漏洞
Exchange服务器端请求伪造(SSRF)漏洞,利用此漏洞的攻击者能够发送任意HTTP请求并通过Exchange Server进行身份验证。
CVE-2021-26857: 序列化漏洞
Exchange反序列化漏洞,该漏洞需要管理员权限,利用此漏洞的攻击者可以在Exchange服务器上以SYSTEM身份运行代码。
CVE-2021-26858/CVE-2021-27065: 任意文件写入漏洞
Exchange中身份验证后的任意文件写入漏洞。攻击者通过Exchange服务器进行身份验证后,可以利用此漏洞将文件写入服务器上的任何路径。该漏洞可以配合CVE-2021-26855 SSRF漏洞进行组合攻击。
0x04影响版本
- microsoft:exchange
: 2013/2016/2019/2010
0x05修复建议
通用修补建议
微软已发布相关安全更新,用户可跟进以下链接进行升级:
CVE-2021-26855:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-26857:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-26858:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-27065:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
临时修补建议
CVE-2021-26855:
可以通过以下Exchange HttpProxy日志进行检测:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
通过以下Powershell可直接进行日志检测,并检查是否受到攻击:
Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox
如果检测到了入侵,可以通过以下目录获取攻击者采取了哪些活动
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging
CVE-2021-26858:
日志目录:C:\ProgramFiles\Microsoft\ExchangeServer\V15\Logging\OABGeneratorLog
可通过以下命令进行快速浏览,并检查是否受到攻击:
findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”
CVE-2021-26857:
该漏洞单独利用难度稍高,可利用以下命令检测日志条目,并检查是否受到攻击。
Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }
CVE-2021-27065:
通过以下powershell命令进行日志检测,并检查是否遭到攻击:
Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’
0x06时间线
2021-03-02 微软发布漏洞报告
2021-03-03 360CERT发布通告
0x07参考链接
1、 HAFNIUM targeting Exchange Servers with 0-day exploits
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
0x08特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。
微软Exchange多个高危漏洞通告
http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】微软Exchange多个高危漏洞通告.pdf
若有订阅意向与定制需求请扫描下方二维码进行信息填写,或发送邮件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
转载自https://mp.weixin.qq.com/s/4s66qdvVbUEzz-w9RcSUIg
微软Exchange多个高危漏洞通告相关推荐
- 细数微软Exchange的那些高危漏洞
今天,多个安全厂家都发布了微软Exchange多个高危漏洞的通告,涉及漏洞编号CVE-2021-26855.CVE-2021-26857.CVE-2021-26858/CVE-2021-27065. ...
- 2020-12 补丁日: 微软多个高危漏洞通告
报告编号:B6-2020-120902 报告来源:360CERT 报告作者:360CERT 更新日期:2020-12-09 0x01 漏洞简述 2020年12月09日,360CERT监测发现 微软官方 ...
- 2021-01 补丁日: 微软多个高危漏洞通告
报告编号:B6-2021-011302 报告来源:360CERT 报告作者:360CERT 更新日期:2021-01-13 0x01事件简述 2021年01月13日,360CERT监测发现发布了的风险 ...
- 【漏洞通告】微软5月安全更新多个产品高危漏洞通告
[漏洞通告]微软5月安全更新多个产品高危漏洞通告 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)
- 2020-06 补丁日: 微软多个产品高危漏洞安全风险通告
2020-06 补丁日: 微软多个产品高危漏洞安全风险通告 360-CERT [三六零CERT ](javascript:void(0)
- 【高危漏洞通告】Spring Framework 远程代码执行 (CVE-2022-22965)
[高危漏洞通告]Spring Framework 远程代码执行 (CVE-2022-22965)漏洞通告 一. 漏洞情况 Spring 框架(Framework)是一个开源的轻量级 J2EE 应 ...
- 奇安信代码卫士帮助微软修复多个高危漏洞,获官方致谢
聚焦源代码安全,网罗国内外最新资讯! 近日,奇安信代码安全实验室研究员为微软发现四个"重要"级别的漏洞(CVE-2020-1162.CVE-2020-1251.CVE-2020-1 ...
- Foxit多个高危漏洞通告
Foxit多个高危漏洞通告 360-CERT [360CERT](javascript:void(0)
- CVE-2020-16875: Microsoft Exchange远程代码执行漏洞通告
https://mp.weixin.qq.com/s/-Yo_EH30qJQbRRIk_1MK1g 360CERT 三六零CERT 9月9日 报告编号:B6-2020-090902 报告来源:360C ...
- 奇安信代码安全实验室帮助微软修复多个高危漏洞,获官方致谢
聚焦源代码安全,网罗国内外最新资讯! 近日,奇安信代码安全实验室研究员为微软发现七个"重要"级别的漏洞(CVE-2020-0782.CVE-2020-0836.CVE-2020-0 ...
最新文章
- 解析不是utf-8的xml文件 附(tag 属性的获取 )
- SAP Business Area 业务范围
- GAE 博客——B3log Solo 0.3.5 正式版发布了!
- autotools入门笔记(二)——创建和使用静态库、动态库
- 【书摘001】android 底层开发技术实战详解 - 基础 - 进程管理的一些常用命令
- RTLviewer与TechnologyMapViewer的区别?
- EntityFramework在root目录web.config中的配置设置
- animals中文谐音_张杰pretty white lies中文音译歌词
- linux系统中看视频,怎么在linux里看视频啊?
- Java Web开发实战经典 李兴华 PDF pdf
- 全球20大半导体企业无1家入围,中国半导体任重道远
- String类中的api
- Kubernetes 节点弹性伸缩开源组件 Amazon Karpenter 实践:部署GPU推理应用
- 2022-2027年中国精华素行业市场深度分析及投资战略规划报告
- iOS数据库编程(Andy)
- windows11磁盘分区步骤
- 王者荣耀4.4日服务器维护,王者荣耀:4.4全天停服更新,只为响应全国性“悼念活动”!...
- 基于ArcGIS:GIS空间分析复习-理论概念+案例分析
- BGP路由器协议排错教程:BGP 对等体翻动问题
- The Mana World 有感