<ol id="tkilc"><track id="tkilc"></track></ol><pre id="tkilc"><xmp id="tkilc"></xmp></pre>
<s id="tkilc"><i id="tkilc"></i></s><big id="tkilc"><tt id="tkilc"></tt></big>
<object id="tkilc"><b id="tkilc"></b></object>
  • <ins id="tkilc"></ins>

    <progress id="tkilc"></progress>

    <meter id="tkilc"><b id="tkilc"></b></meter>
    首頁安全服務安全公告
    正文

    關于微軟Exchange多個高危漏洞的安全通告

    發布時間:2021-03-03 08:03   瀏覽次數:4370

    202133日,微軟公司披露Exchange系統存在多個高風險的漏洞,包括:CVE-2021-26855服務端請求偽造漏洞、CVE-2021-26857序列化漏洞、CVE-2021-26858CVE-2021-27065任意文件寫入漏洞。

    建議各用戶做好系統資產安全自查以及防御工作,防止非法入侵事件的發生。

     

    【漏洞描述】

    1. CVE-2021-26855服務端請求偽造漏洞

    無需身份驗證,攻擊者可對Exchange Server的發起任意HTTP請求,從而掃描內網并可獲取Exchange用戶信息。

     

    2CVE-2021-26857反序列化漏洞

    在擁有Exchange 管理員權限及利用其他漏洞情況下,攻擊者通過構造惡意請求可觸發反序列化漏洞,對系統執行任意代碼。

     

    3CVE-2021-26858CVE-2021-27065任意文件寫入漏洞

    擁有Exchange 管理員權限或結合CVE-2021-26855漏洞,通過構造惡意請求,可對系統寫入任意文件。

     

    【影響版本】

    Microsoft Exchange Server 2010

    Microsoft Exchange Server 2013

    Microsoft Exchange Server 2016

    Microsoft Exchange Server 2019

     

    【修復方案】

    對應的漏洞,微軟已發布相關安全補丁,各用戶及時進行升級:

    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

     

    監測防范】

    可通過如下監測方法,來判斷系統是否受到對應漏洞的惡意攻擊:

    1.CVE-2021-26855通過Exchange HttpProxy日志檢測:

    %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

     

    通過PowerShell可直接進行日志檢測以及檢查是否受到攻擊:

    Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy-Filter *.log).FullName | Where-Object {  $_.AuthenticatedUser -eq -and $_.AnchorMailbox -like ServerInfo~*/*} | select DateTime, AnchorMailbox

     

    以下目錄可查看攻擊者的具體操作:

    %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

     

    2. CVE-2021-26857反序列化漏洞

    利用以下命令檢測日志信息,判斷是否受到攻擊:

    Get-EventLog -LogName Application -Source “MSExchange Unified Messaging-EntryType Error | Where-Object { $_.Message -like *System.InvalidCastException*}

     

    3.CVE-2021-26858任意文件寫入漏洞日志

    目錄如下:

    C:\ProgramFiles\Microsoft\ExchangeServer\V15\Logging\OABGeneratorLog

     

    利用以下命令檢測日志信息,判斷是否受到攻擊:

    findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log

     

    4. CVE-2021-27065任意文件寫入漏洞

    通過PowerShell命令進行日志檢測:

    Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Loggin

     

    【參考資料】

    https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

    https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/


    福建省海峽信息技術有限公司 版權所有  聯系: hxzhb@heidun.net 閩ICP備06011901號 ? 1999-2021 Fujian Strait Information Corporation. All Rights Reserved.

    返回頂部

    洲产v洲日韩vv日亚韩美,人人伦06伦皮子国0的产乱,精v观观观在看国无爽码爽精精,精韩产韩产a欧精a韩欧精