微软exchange server漏洞怎么排查（ExchangeServer遭零日攻击微软紧急发布补丁）

微软今日宣称已检测到多个针对Microsoft Exchange Server的0day攻击，攻击Exchange Server的本地部署服务器。根据对攻击分析，攻击者利用系列的漏洞（CVE-2021-26855，CVE-2021-26857，CVE-2021-26858和CVE-2021-27065）入侵了本地Exchange Server，可以访问电子邮件帐户，并安装其他恶意软件以促进对受害者环境的长期访问。微软威胁情报中心（MSTIC），确认攻击者为HAFNIUM组织，但是攻击来源均为美国云资源。

这些漏洞包括CVE-2021-26855，CVE-2021-26857，CVE-2021-26858和CVE-2021-27065，微软安全响应中心（MSRC）Exchange Server发布针对这些漏洞的多个安全更新。建议本地实例的客户立即更新，Microsoft Exchange在线不受影响。

HAFNIUM组织

HAFNIUM主要针对美国多个行业的实体，包括传染病研究人员，律师事务所，高等教育机构，国防档案馆，政策智囊团和非政府组织。

HAFNIUM此前通过利用面向Internet的服务器中的扩展来获利，并使用合法的开源框架（例如Covenant）进行命令和控制。一旦获得了受害网络的访问权，HAFNIUM通常会将数据渗漏到MEGA之类的文件共享站点。

在与这些非法无关的活动中，微软观察到HAFNIUM与受害Office 365租户进行了交互。尽管他没有成功破坏客户账户，但这种侦察活动可帮助对手识别有关其目标环境的更多详细信息。

HAFNIUM主要通过美国的租赁虚拟专用服务器（VPS）进行运营。

技术细节

Microsoft提供了以下详细信息，以帮助了解HAFNIUM利用这些漏洞利用的技术，并能够更有效地防御将来对未打补丁的系统的任何攻击。

CVE-2021-26855:

Exchange中的一个服务器端请求伪造（SSRF）漏洞，利用该漏洞攻击者能够发送任意HTTP请求并通过Exchange Server进行身份验证。

CVE-2021-26857:

统一消息服务中的不安全的反序列化漏洞。不安全的反序列化是不可信的用户可控制数据被程序反序列化的地方。利用该漏洞，攻击者可以在Exchange服务器上以System身份运行代码。这需要管理员权限或要利用的另一个漏洞。

CVE-2021-26858：

Exchange中身份验证后的任意文件写入漏洞。利用该漏洞，攻击者可以通过Exchange服务器进行身份验证，可以使用此漏洞将文件写入服务器上的任何路径。可以通过利用CVE-2021-26855 SSRF漏洞或通过破坏合法管理员的凭据来进行身份验证。

CVE-2021-27065

Exchange中身份验证后的任意文件写入漏洞。如果通过了Exchange服务器进行身份验证，攻击者利用该漏洞可以将文件写入服务器上的任何路径。可以通过利用CVE-2021-26855 SSRF漏洞或通过破坏合法管理员的凭据来进行身份验证。

攻击细节

利用这些漏洞获得初始访问权限后，HAFNIUM攻击者在受感染的服务器上部署了Web Shell。Web Shell可能使攻击者能够窃取数据并执行其他恶意操作，从而导致进一步的危害。下面是用ASP编写并部署的Web Shell的一个示例：

部署Web Shell后，HAFNIUM攻击者执行了以下开发后活动：

使用Procdump转储LSASS进程内存：

使用7-Zip将窃取的数据压缩到ZIP文件中以进行渗透：

添加并使用Exchange PowerShell管理单元导出邮箱数据：

使用Nishang

从GitHub下载PowerCat，然后使用它打开与远程服务器的连接：

HAFNIUM运营商还能够从受感染的系统中下载Exchange脱机通讯簿，其中包含有关组织及其用户的信息。

攻击检查

Microsoft Exchange Server团队已发布有关这些新安全更新的博客文章，并提供了一个脚本，可快速检查本地Exchange服务器的补丁程序级别状态，并回答有关安装这些补丁程序的一些基本问题。

扫描Exchange日志文件攻击痕迹

可以通过以下Exchange HttpProxy日志检测CVE-2021-26855利用：

这些日志位于以下目录中：

%ProgramFiles%\Microsoft\Exchange Server\V15\Logging\HttpProxy

可以通过在AuthenticatedUser为空并且AnchorMailbox包含ServerInfo~*/*的日志条目中进行搜索来识别漏洞利用

以下PowerShell命令来查找这些日志条目的示例：

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

如果检测到异常活动，可以使用AnchorMailbox路径中指定的特定于应用程序的日志来帮助确定采取了哪些操作。这些日志位于:

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

可以通过Exchange日志文件检测CVE-2021-26858利用：

日文件：

C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog

文件应下载在以下目录：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\ClientAccess\OAB\Temp

如果被利用，文件会被下载到其他目录（UNC或本地路径）

Windows命令搜索潜在的利用：

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”

可以通过Windows应用程序事件日志检测CVE-2021-26857反序列化利用,并创建具有以下属性的应用程序事件：

Source: MSExchange Unified Messaging EntryType: Error Event Message Contains: System.InvalidCastException

以下PowerShell命令，用于在应用程序事件日志中查询这些日志条目：

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

可以通过以下Exchange日志文件检测CVE-2021-27065利用：

日志文件：

C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server

所有Set- <AppName> VirtualDirectory属性都不应包含脚本。InternalUrl和ExternalUrl应该仅是有效Uris。

下面的PowerShell命令搜索潜在的利用：

Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-. VirtualDirectory’

攻击特征

Webshell哈希

b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e 2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1 65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5 511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944

路径

Web Shell部署的路径包括：

C:\inetpub\wwwroot\aspnet_client\ C:\inetpub\wwwroot\aspnet_client\system_web

在Microsoft Exchange Server的安装路径中，例如：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\ C:\Exchange\FrontEnd\HttpProxy\owa\auth\

检测到的Web Shell具有以下文件名：

web.aspx help.aspx document.aspx errorEE.aspx errorEEE.aspx errorEW.aspx errorFF.aspx healthcheck.aspx aspnet_www.aspx aspnet_client.aspx xx.aspx shell.aspx aspnet_iisstart.aspx one.aspx

还在C:\ProgramData\中检查到可疑的.zip，.rar和.7z文件，这可能表明可能有数据泄漏。

客户应监视以下路径的LSASS dumps：

C:\windows\temp\ C:\root\

工具

Procdump Nishang PowerCat

Microsoft Defender防病毒检测

请注意，其中某些检测是常规检测:

Exploit:Script/Exmann.A!dha Behavior:Win32/Exmann.A Backdoor:ASP/SecChecker.A Backdoor:JS/Webshell (not unique) Trojan:JS/Chopper!dha (not unique) Behavior:Win32/DumpLsass.A!attk (not unique) Backdoor:HTML/TwoFaceVar.B (not unique) Microsoft Defender Endpoint检测 Suspicious Exchange UM process creation Suspicious Exchange UM file creation Possible web shell installation (not unique) Process memory dump (not unique)

,