cve cve - 2021 - 26855 - 2021 - 26857, cve - 2021 - 26858, cve - 2021 - 27065:四个零日漏洞在Microsoft Exchange Server利用在野外

四个零日漏洞在Microsoft Exchange服务器用于链接攻击在野外。

2021年3月8日,更新:确定影响系统部分已经更新信息的可用性以及额外的插件链接到我们的博客细节。

背景

3月2日,微软发表带外报告地址四个零日漏洞在Microsoft Exchange Server在野外被剥削。

CVE	漏洞类型	CVSSv3
cve - 2021 - 26855	服务器端请求伪造(SSRF)	9.1
cve - 2021 - 26857	不安全的反序列化	7.8
cve - 2021 - 26858	任意文件编写	7.8
cve - 2021 - 27065	任意文件编写	7.8

在一篇博客文章这些缺陷的剥削,微软属性调用铪国家资助的组织。美国历来有针对性- - - - - -based institutions, which include “infectious disease researchers, law firms, higher education institutions, defense contractors, policy think tanks, and NGOs,” according to the Microsoft blog. Researchers at Volexity also published a blog post about this attack, referring to it as操作交易掠夺者。

漏洞影响微软Exchange服务器的本地版本。微软交换网络不受这些漏洞的影响。

分析

cve - 2021 - 26855是一个SSRF漏洞在Microsoft Exchange Server。一个未经身份验证的远程攻击者可以利用这个漏洞通过发送一个精雕细琢脆弱的Exchange服务器的HTTP请求。为了利用这个缺陷,微软说脆弱的Exchange服务器将需要能够接受不可信连接端口443。成功开发这一缺陷将允许攻击者Exchange服务器进行身份验证。

Volexity,三组因发现cve - 2021 - 26855,在解释道它的博客它观察到攻击者利用这个漏洞”偷几个用户邮箱的完整内容。“所有那些需要攻击者利用缺陷是知道的IP地址或完全限定域名(FQDN)交换服务器和电子邮件帐户他们希望的目标。

cve - 2021 - 26857是一个不安全的反序列化漏洞在Microsoft Exchange。具体来说,缺陷所在交易所统一消息服务,使语音邮件功能除了其他特性。利用这个漏洞,攻击者需要身份验证的脆弱的Exchange服务器的管理员权限或利用另一个漏洞。成功的开发将攻击者任意代码执行特权授予系统。

cve - 2021 - 26858和cve - 2021 - 27065都是任意文件写在Microsoft Exchange漏洞。这些缺陷post-authentication,这意味着攻击者首先需要验证脆弱的Exchange服务器之前,他们可以利用这些漏洞。这可以通过利用cve - 2021 - 26855或拥有被盗管理员证书。通过身份验证之后,攻击者可以随意写任何脆弱的服务器上的路径。

微软的博客称,研究人员观察了铪威胁演员利用这些缺陷来部署web贝壳到目标系统为了偷凭证和邮箱数据。据报道,袭击者也能获得脱机通讯簿(OAB)交换。拥有这些信息将有助于确定威胁演员表演进一步侦察活动的目标。

入侵检测到至少可以回溯到2021年1月

尽管最初的3月2日披露,史蒂文•阿代尔Volexity总统说,他的团队已经在“自1月以来几次入侵”涉及这些漏洞。

我们的团队一直在不知疲倦地工作几个入侵自今年1月以来涉及多个0-day利用Microsoft Exchange。我们发布这一威胁活动的细节与微软的乐队补丁。看一看和更新交换!https://t.co/GWGxQWAdGO

-史蒂文阿戴尔(@stevenadair)2021年3月2日

Volexity博客文章包括一个视频演示成功的漏出的个人电子邮件与目标用户没有身份验证。这是通过使用XML SOAP有效负载发送一个HTTP POST请求脆弱的Exchange服务器的Web服务API。

据报道威胁其他国家利用这些缺陷在野外

根据一个Twitter线程从ESET的研究”,一些网络间谍组织”——的目标不仅包括美国,但其他国家包括德国、法国,哈萨克斯坦,和更积极利用SSRF脆弱性(cve - 2021 - 26855)。

大多数目标都位于美国,但我们已经看到攻击服务器在欧洲,亚洲和中东。针对垂直包括政府、律师事务所、私人公司和医疗设施。3/5pic.twitter.com/kwxjYPeMlm

——ESET研究(@ESETresearch)2021年3月2日

微软还解决了三个不相关的Exchange服务器漏洞

除了四个零日漏洞,微软还打补丁的三个不相关的远程代码执行漏洞在Microsoft Exchange Server(远端控制设备)披露他们的安全研究员史蒂文·斯利。

CVE	CVSSv3
cve - 2021 - 26412	9.1
cve - 2021 - 26854	6.6
cve - 2021 - 27078	9.1

概念验证

在这篇文章发表的时候,没有概念论证可用于任何的四个零日漏洞被微软披露。

解决方案

微软发布了带外补丁为Microsoft Exchange服务器3月2日,解决所有四个漏洞在野外以及三个不相关的漏洞。

交换服务器版本	知识库文章
2010 Service Pack 3	KB5000978
2013年累计更新23	KB5000871
2016年累计更新18	KB5000871
2016年累计更新19	KB5000871
2019年累计更新7	KB5000871
2019年累计更新8	KB5000871

这两个微软和Volexity有妥协的共享指标(国际石油公司)的攻击各自的博客文章。

组织有一些缓解措施可以应用到修补是可行的,比如限制不可信连接交换服务器。然而,站得住脚的强烈鼓励所有的组织部署Exchange服务器本地应用这些补丁尽快。我们预计,一旦工作概念可用,不加区别地攻击者将开始利用这些缺陷。

确定影响系统

一个站得住脚的列表插件来识别这些漏洞将会出现在这里当他们被释放。

除了检查插件的版本,我们已经发布了一个国际奥委会直接检查插件和一个插件。为更多的细节在这些插件以及指导如何站得住脚的可以帮助你识别破坏系统,请访问我们的最新博客文章。

获得更多的信息

• 微软在铪博客
• Volexity博客cve - 2021 - 26855
• 微软博客在民族国家的网络攻击
• 微软安全响应中心博客交换服务器上更新

加入站不住脚的安全响应团队站得住脚的社区。

了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。

得到一个天的免费试用站得住脚的。io脆弱性管理。