Номер отчета: B6-2021-030301
Источник отчета: 360CERT
Авторы: 360CERT
Дата обновления: 2021-03-03
0x01 Краткое описание события
3 марта 2021 года мониторинг 360CERT обнаружил, что Microsoft выпустила уведомление о риске для нескольких уязвимостей высокого риска в Exchange. Уязвимости пронумерованы CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065, уровень инцидента: серьезный, оценка инцидента: 9,8.
В связи с этим 360CERT рекомендует пользователям своевременно обновлять exchange до последней версии. В то же время, пожалуйста, хорошо поработайте над самопроверкой активов и их предотвращением, чтобы избежать хакерских атак.
0x02 Уровень риска
360CERT оценивает инцидент следующим образом:
0x03 Сведения об уязвимости
CVE-2021-26855: уязвимость, связанная с подделкой запросов к серверу
Уязвимость подделки запросов на стороне сервера Exchange (SSRF), злоумышленник, использующий эту уязвимость, может отправлять произвольные HTTP-запросы и проходить проверку подлинности через Exchange Server.
CVE-2021-26857: уязвимость сериализации
Уязвимость десериализации Exchange, для этой уязвимости требуются права администратора. Злоумышленник, использующий эту уязвимость, может запустить код как SYSTEM на сервере Exchange.
CVE-2021-26858 / CVE-2021-27065: уязвимость, связанная с произвольной записью файлов.
Уязвимость произвольной записи файлов после аутентификации в Exchange. После того, как злоумышленник аутентифицируется через сервер Exchange, он может использовать эту уязвимость для записи файлов по любому пути на сервере. Эта уязвимость может сочетаться с уязвимостью CVE-2021-26855 SSRF для комбинированных атак.
0x04 Затронутая версия
— microsoft:exchange: 2013/2016/2019/2010
0x05 Предложение исправления
Общие рекомендации по исправлению
Microsoft выпустила соответствующие обновления безопасности, пользователи могут перейти по ссылке ниже, чтобы обновить:
CVE-2021-26855: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855.
CVE-2021-26857: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855.
CVE-2021-26858: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855.
CVE-2021-27065: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855.
Предложения по временному исправлению
CVE-2021-26855:
Его можно обнаружить с помощью следующих журналов Exchange HttpProxy:
% PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ Logging \ HttpProxy
С помощью следующего Powershell вы можете напрямую выполнить обнаружение журнала и проверить, атакован ли он:
При обнаружении вторжения можно использовать следующий каталог, чтобы узнать, какие действия предпринял злоумышленник:
% PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ Logging
CVE-2021-26858:
Каталог журналов: C: \ ProgramFiles \ Microsoft \ ExchangeServer \ V15 \ Logging \ OABGeneratorLog
Вы можете использовать следующую команду, чтобы быстро проверить, атакован ли он:
CVE-2021-26857:
Использовать только эту уязвимость трудно. Следующие команды можно использовать для обнаружения записей журнала и проверки того, атакованы ли они.
CVE-2021-27065:
Использовать следующие команды PowerShell, чтобы выполнить обнаружение журнала и проверить, был ли он атакован:
0x06 Временная шкала
2021-03-02 Microsoft выпускал отчет об уязвимости
2021-03-03 360CERT выпускал уведомление
0x07 Ссылка
- HAFNIUM нацелен на серверы Exchange с эксплойтами нулевого дня
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/