Номер отчета: B6-2021-030301

Источник отчета: 360CERT

Авторы: 360CERT

Дата обновления: 2021-03-03

0x01 Краткое описание события

3 марта 2021 года мониторинг 360CERT обнаружил, что Microsoft выпустила уведомление о риске для нескольких уязвимостей высокого риска в Exchange. Уязвимости пронумерованы CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065, уровень инцидента: серьезный, оценка инцидента: 9,8.

В связи с этим 360CERT рекомендует пользователям своевременно обновлять exchange до последней версии. В то же время, пожалуйста, хорошо поработайте над самопроверкой активов и их предотвращением, чтобы избежать хакерских атак.

0x02 Уровень риска

360CERT оценивает инцидент следующим образом:

0x03 Сведения об уязвимости

CVE-2021-26855: уязвимость, связанная с подделкой запросов к серверу

Уязвимость подделки запросов на стороне сервера Exchange (SSRF), злоумышленник, использующий эту уязвимость, может отправлять произвольные HTTP-запросы и проходить проверку подлинности через Exchange Server.

CVE-2021-26857: уязвимость сериализации

Уязвимость десериализации Exchange, для этой уязвимости требуются права администратора. Злоумышленник, использующий эту уязвимость, может запустить код как SYSTEM на сервере Exchange.

CVE-2021-26858 / CVE-2021-27065: уязвимость, связанная с произвольной записью файлов.

Уязвимость произвольной записи файлов после аутентификации в Exchange. После того, как злоумышленник аутентифицируется через сервер Exchange, он может использовать эту уязвимость для записи файлов по любому пути на сервере. Эта уязвимость может сочетаться с уязвимостью CVE-2021-26855 SSRF для комбинированных атак.

0x04 Затронутая версия

— microsoft:exchange: 2013/2016/2019/2010

0x05 Предложение исправления

Общие рекомендации по исправлению

Microsoft выпустила соответствующие обновления безопасности, пользователи могут перейти по ссылке ниже, чтобы обновить:

CVE-2021-26855: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855.

CVE-2021-26857: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855.

CVE-2021-26858: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855.

CVE-2021-27065: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855.

Предложения по временному исправлению

CVE-2021-26855:

Его можно обнаружить с помощью следующих журналов Exchange HttpProxy:

% PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ Logging \ HttpProxy

С помощью следующего Powershell вы можете напрямую выполнить обнаружение журнала и проверить, атакован ли он:

При обнаружении вторжения можно использовать следующий каталог, чтобы узнать, какие действия предпринял злоумышленник:

% PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ Logging

CVE-2021-26858:

Каталог журналов: C: \ ProgramFiles \ Microsoft \ ExchangeServer \ V15 \ Logging \ OABGeneratorLog

Вы можете использовать следующую команду, чтобы быстро проверить, атакован ли он:

CVE-2021-26857:

Использовать только эту уязвимость трудно. Следующие команды можно использовать для обнаружения записей журнала и проверки того, атакованы ли они.

CVE-2021-27065:

Использовать следующие команды PowerShell, чтобы выполнить обнаружение журнала и проверить, был ли он атакован:

0x06  Временная шкала

2021-03-02 Microsoft выпускал отчет об уязвимости

2021-03-03  360CERT выпускал уведомление

0x07 Ссылка

1. HAFNIUM нацелен на серверы Exchange с эксплойтами нулевого дня

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/