Microsoft Exchange多個高危漏洞安全通告

2021-12-20 新華三大安全

收錄於話題 #安全公告 134個內容

Microsoft Exchange Server是微軟公司的一套電子郵件服務組件,是個消息與協作系統。Exchange server可以被用來構架應用於企業、學校的郵件系統或免費郵件系統。它還是一個協作平臺。你可以在此基礎上開發工作流,知識管理系統,Web系統或者是其他消息系統。2021年03月03日,新華三攻防實驗室監測到微軟官方發布了Microsoft Exchange安全更新,修復了包含CVE-2021-26855在內的多個高危漏洞。

2021年03月03日,微軟官方發布安全更新,修復了多個高危漏洞,包括:

1、CVE-2021-26855 服務端請求偽造漏洞

該漏洞無需身份認證,攻擊者可以利用此漏洞發送惡意請求,偽造成Exchange server的身份發起任意HTTP請求,對內網進行掃描,並獲取Exchange的用戶信息。

2、CVE-2021-26857 反序列化漏洞

該漏洞需要Exchange administrator權限,攻擊者可以利用此漏洞發送惡意請求來觸發反序列化漏洞,從而執行任意代碼。

3、CVE-2021-26858/CVE-2021-27065 任意文件寫入漏洞

攻擊者通過Exchange伺服器進行身份驗證後,可以利用此漏洞將文件寫入伺服器上的任何路徑。該漏洞可以配合CVE-2021-26855 SSRF漏洞破壞管理員憑據後進行組合攻擊。

CVE-2021-26855高危

CVE-2021-26857高危

CVE-2021-26858高危

CVE-2021-27065高危

受影響版本:

Microsoft Exchange 2010

Microsoft Exchange 2013

Microsoft Exchange 2016

Microsoft Exchange 2019

目前官方已經發布對應漏洞修復補丁,下載地址連結:

CVE-2021-26855 

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26857 

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

CVE-2021-26858 

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

CVE-2021-27065 

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

CVE-2021-26855:

可以通過以下Exchange HttpProxy日誌進行檢測:

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

通過以下Powershell腳本可直接進行日誌檢測,檢查是否受到攻擊:

Import-Csv -Path (Get-ChildItem -Recurse -Path 「$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy」 -Filter 『*.log』).FullName | Where-Object {  $_.AuthenticatedUser -eq 」 -and $_.AnchorMailbox -like 『ServerInfo~*/*』 } | select DateTime, AnchorMailbox

如果檢測到了入侵,可以通過以下目錄獲取攻擊者採取了哪些活動:

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

CVE-2021-26858:

日誌目錄:

C:\ProgramFiles\Microsoft\ExchangeServer\V15\Logging\OABGeneratorLog

可通過以下命令進行快速瀏覽,並檢查是否受到攻擊:

findstr /snip /c:」Download failed and temporary file」 「%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log」

CVE-2021-26857:

該漏洞單獨利用難度稍高,可利用以下命令檢測日誌條目,並檢查是否受到攻擊。

Get-EventLog -LogName Application -Source 「MSExchange Unified Messaging」 -EntryType Error | Where-Object { $_.Message -like 「*System.InvalidCastException*」 }

CVE-2021-27065:

通過以下powershell命令進行日誌檢測,並檢查是否遭到攻擊:

Select-String -Path 「$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Ser

1、https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

2、https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

相關焦點

  • 【安全通告】Microsoft Exchange多個高危漏洞,無需用戶交互即可觸發攻擊
    近日,微軟發布Exchange Server的緊急安全更新,修復了多個相關漏洞,攻擊者通過利用這些漏洞能夠在無需用戶交互的情況下,攻擊Exchange
  • 【漏洞預警】Microsoft Exchange多個高危漏洞(CVE-2021-26855等)
    2021年03月3日,阿里雲應急響應中心監測發現微軟發布了Microsoft Exchange安全更新,披露了多個高危嚴重漏洞。
  • 【安全預警】Microsoft Exchange多個高危漏洞(CVE-2021-26855等)
    近日, 微軟發布了Exchange 多個高危漏洞的風險通告,該漏洞編號為CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065。CVE-2021-27065 高危0x03漏洞詳情1、在 CVE-2021-26855
  • Microsoft Exchange多個高危漏洞 (CVE-2021-26855/26857/26858/27065)
    ,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065等多個高危漏洞。2021年03月03日微軟官方披露多個Exchange高危漏洞:CVE-2021-26855Exchange伺服器端請求偽造漏洞。利用此漏洞的攻擊者能夠以Exchange Server發送HTTP請求,掃描內網,獲取Exchange用戶信息。CVE-2021-26857Exchange反序列化漏洞。
  • FortiWeb 多個高危漏洞安全通告
    報告編號:B6-2021-010701報告來源:360CERT報告作者
  • 【漏洞通告】Microsoft 1月多個安全漏洞
    Core和Visual Studio拒絕服務漏洞ASP.NET核心和.NET核心高危CVE-2021-1677Azure  Active Directory Pod身份欺騙漏洞Azure  Active Directory Pod身份高危CVE-2021-1683Windows藍牙安全功能繞過漏洞
  • Chrome 多個高危漏洞通告
    報告作者:360CERT更新日期:2021-01-120x01事件簡述2021年01月12日,360CERT監測發現Google發布了Chrome安全更新的風險通告,事件等級:嚴重,事件評分:9.6。/2021/01/stable-channel-update-for-desktop.html0x09特製報告下載連結一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。
  • 漏洞告警-微軟9月安全更新多個產品高危漏洞通告
    微軟9月安全更新多個產品高危漏洞通告1漏洞概述北京時間9月9日,微軟發布9月安全更新補丁,修復了129個安全問題,涉及Microsoft Windows、Internet Explorer、Microsoft Office
  • 2020-12 補丁日: 微軟多個高危漏洞通告
    - 然後進入設置窗口,展開下拉菜單項,選擇其中的 自動安裝更新(推薦) 。臨時修補建議通過如下連結自行尋找符合作業系統版本的漏洞補丁,並進行補丁下載安裝。/12/8/the-december-2020-security-update-review0x09 特製報告下載連結一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。
  • 【通告更新】漏洞已復現,Microsoft Exchange遠程代碼執行漏洞安全風險通告第二次更新
    奇安信CERT致力於第一時間為企業級用戶提供安全風險通告和有效解決方案。近日,奇安信CERT監測到安全研究員公開了Microsoft Exchange多個漏洞(ProxyShell)的細節、PoC及利用視頻。
  • Dnsmasq: 多個高危漏洞風險通告
    報告作者:360CERT更新日期:2021-01-210x01事件簡述2021年01月21日,360CERT監測發現JSOF發布了DNSpooq的風險通告,事件等級:高危,事件評分:8.1。https://www.jsof-tech.com/disclosures/dnspooq/0x0a特製報告下載連結一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。
  • SaltStack 多個高危漏洞通告
    該漏洞主要是salt.wheel.pillar_roots.write函數在寫入操作時,將存在惡意代碼的模板文件寫入特定位置,在請求相關頁面時觸發 jinja 引擎渲染導致代碼執行與CVE-2021-25282結合實現代碼執行。CVE-2021-3148: 命令注入SaltAPIsalt.utils.thin.gen_thin()方法存在一處命令注入漏洞。
  • Foxit多個高危漏洞通告
    高危漏洞的安全更新。此次安全更新發布了36個漏洞補丁,涵蓋了Foxit Reader、Foxit PhantomPDF兩個產品及其3D插件。其中包括了多個高危漏洞可在用戶交互的情況下完成遠程代碼執行。對此,360CERT建議廣大用戶及時安裝最新補丁,做好資產自查以及預防工作,以免遭受黑客攻擊。
  • 【漏洞通告】Microsoft Exchange Server 權限提升漏洞 CVE-2021-34523
    2021年8月18日,深信服安全團隊監測到一則Exchange Server組件存在權限提升漏洞的信息,漏洞編號:CVE-2021-34523,漏洞威脅等級:高危。    攻擊者可利用該漏洞在低權限的情況下,構造惡意數據造成權限提升,最終獲取伺服器最高權限。
  • 【高危安全通告】NetLogon特權提升漏洞風險通告
    安全狗安全威脅情報中心注意到有國外安全廠商將NetLogon特權提升漏洞(CVE-2020-1472)的詳細技術分析和驗證腳本公開上傳到github。該漏洞高度危險,漏洞利用代碼公開意味著大規模的漏洞利用將很快到來。 當攻擊者使用 Netlogon 遠程協議 (MS-NRPC) 建立與域控制器連接的易受攻擊的 Netlogon 安全通道時,存在特權提升漏洞。
  • 2020-11 補丁日:微軟多個產品高危漏洞安全風險通告
    >報告作者:360CERT更新日期:2020-11-110x01 事件簡述2020年11月11日,360CERT監測發現   微軟官方   發布了  11月安全更新    的風險通告,事件等級: 嚴重  ,事件評分: 9.8  。
  • 微軟Exchange曝多個高危漏洞,無需驗證交互即可觸發
    3月2日,微軟發布了Microsoft Exchange Server的安全更新公告,其中包含多個Exchange Server嚴重安全漏洞,危害等級為
  • 細數微軟Exchange的那些高危漏洞
    今天,多個安全廠家都發布了微軟Exchange多個高危漏洞的通告,涉及漏洞編號CVE-2021-26855、CVE-2021-26857、CVE
  • Microsoft | 11月多個產品漏洞通告
    在此次發布的17個關鍵補丁中,其中有12個漏洞為遠程代碼執行漏洞。 0x01 漏洞詳情 從11月的安全公告開始,Microsoft刪除了CVE概述的描述部分。微軟在周一宣布,它將使用行業標準,即通用漏洞評分系統(CVSS)來為Patch Tuesday(微軟周二補丁日)的安全公告提供漏洞信息。
  • 【高危安全通告】Microsoft Exchange遠程代碼執行漏洞通告(CVE-2020-0688)
    2020年2月11日,Microsoft發布Microsoft Exchange Server中存在遠程代碼執行漏洞(CVE-2020-0688)通告,而該漏洞細節已在網際網路公開。漏洞名稱Microsoft  Exchange Server遠程代碼執行漏洞CVE編號CVE-2020-0688漏洞影響廠商Microsoft 漏洞影響產品版本(範圍)Microsoft Exchange Server  2010 Service Pack 3 Update Rollup