Microsoft Exchange Server 漏洞缓解措施 - 2021年3月15日更新

更新于2021年3月15日：如果您尚未安装补丁且未应用下述缓解措施，一键式工具Exchange On-premises Mitigation Tool现为推荐方案，可在补丁安装前提供临时保护。

微软此前强烈建议客户将其本地Exchange环境升级至最新支持版本。对于无法快速应用更新的客户，我们提供以下替代缓解技术，帮助需要更多时间修补部署并愿意承担风险和服务功能折衷的Microsoft Exchange客户。

如果您的Exchange服务器已被入侵，这些缓解措施并非补救措施，也不能提供完全防护。我们强烈建议使用此处的狩猎建议调查Exchange部署，确保未被入侵。建议在应用以下任一缓解策略的同时或之后启动调查。本博客中提到的所有脚本和工具及使用指南可在GitHub找到。

客户应根据组织优先级选择以下缓解策略之一：

推荐解决方案：安装安全补丁

此方法是唯一完整的缓解措施，对功能无影响。 安装安全更新的详细方法见：技术社区博客。 此方法不会驱逐已入侵服务器的攻击者。

无法修补Exchange Server 2013、2016和2019时的临时缓解措施

• 实施IIS重写规则以过滤恶意HTTPS请求
• 禁用统一消息（UM）
• 禁用Exchange控制面板（ECP）VDir
• 禁用离线地址簿（OAB）VDir

这些缓解措施可使用下文描述的ExchangeMitigations.ps1脚本应用或回滚，对Exchange Server功能有一定已知影响。缓解措施对我们迄今在野外观察到的攻击有效，但不能保证完全缓解所有可能的漏洞利用。此方法不会驱逐已入侵服务器的攻击者。仅应作为临时缓解措施，直至Exchange服务器完全修补，建议一次性应用所有缓解措施。

ExchangeMitigations.ps1

概述

此脚本包含缓解以下漏洞的措施：

• CVE-2021-26855
• CVE-2021-26857
• CVE-2021-27065
• CVE-2021-26858

此脚本需通过提升的Exchange PowerShell会话或Exchange管理外壳执行。缓解细节如下，更多信息见前述GitHub。

后端Cookie缓解

适用对象：CVE-2021-26855
描述：此缓解将过滤包含恶意X-AnonResource-Backend和畸形X-BEResource cookie的HTTPS请求，这些cookie在野外SSRF攻击中被发现使用。有助于防御已知观察模式，但不能完全防御SSRF。
注意：IIS重写规则将在Exchange升级后移除，如果未安装安全补丁，需重新应用缓解。
要求：URL重写模块

• IIS 10及以上推荐URL重写模块2.1，版本2.1（x86和x64）可在此下载
• IIS 8.5及以下推荐重写模块2.0，版本2.0可在此下载（x86）和在此下载（x64）
  影响：如果按推荐安装URL重写模块，对Exchange功能无已知影响。在IIS 8.5及以下安装URL重写版本2.1可能导致IIS和Exchange不稳定。如果URL重写模块与IIS版本不匹配，ExchangeMitigations.ps1不会应用CVE-2021-26855的缓解。必须卸载URL重写模块并重新安装正确版本。

统一消息缓解

适用对象：CVE-2021-26857
描述：此缓解将禁用Exchange中的统一消息服务。Microsoft Exchange托管可用性服务也被禁用以防止缓解回归。
影响：禁用这些服务时，统一消息/语音邮件中断。由于禁用Microsoft Exchange托管可用性服务，Exchange的高级监控功能也被禁用。

ECP应用程序池缓解

适用对象：CVE-2021-27065和CVE-2021-26858
描述：此缓解将禁用Exchange控制面板（ECP）虚拟目录。Microsoft Exchange托管可用性服务也被禁用以防止缓解回归。
影响：Exchange控制面板将不再可用。禁用Exchange控制面板时，所有Exchange管理可通过远程PowerShell完成。由于禁用Microsoft Exchange托管可用性服务，Exchange的高级监控功能也被禁用。

OAB应用程序池缓解

适用对象：CVE-2021-27065和CVE-2021-26858
描述：此缓解禁用离线地址簿（OAB）应用程序池和API。Microsoft Exchange托管可用性服务也被禁用以防止缓解回归。
影响：OAB将不可用，包括Outlook客户端下载离线地址簿。在某些场景和配置中可能导致地址簿结果过时。由于禁用Microsoft Exchange托管可用性服务，Exchange的高级监控功能也被禁用。

额外狩猎和调查技术

扫描CVE-2021-26855的Nmap脚本

描述：检测指定URL是否易受Exchange Server SSRF漏洞（CVE-2021-26855）影响。可用于验证暴露服务器的补丁和缓解状态。

Test-ProxyLogon.Ps1

描述：此脚本检查目标Exchange服务器是否存在代理登录入侵迹象。代理登录漏洞在CVE-2021-26855、26858、26857和27065中描述。此脚本旨在通过提升的Exchange管理外壳运行。

用于扫描Microsoft Exchange Server的Microsoft支持紧急响应工具（MSERT）

Microsoft Defender已包含最新版本Microsoft安全扫描器（MSERT.EXE）的安全情报更新，以检测和修复已知滥用2021年3月2日披露的Exchange Server漏洞的最新威胁。管理员可将此工具用于未受Microsoft Defender for Endpoint保护或为以下推荐文件夹配置排除项的服务器。

使用Microsoft支持紧急响应工具（MSERT）扫描Microsoft Exchange Server位置以查找攻击者的已知指标：

1. 从Microsoft安全扫描器下载下载MSERT。注意：如需故障排除，请参阅如何排除运行Microsoft安全扫描器时的错误。
2. 阅读并接受最终用户许可协议，然后单击“下一步”。
3. 阅读Microsoft安全扫描器隐私声明，然后单击“下一步”。
4. 选择是否执行完全扫描或自定义扫描。
   • 完全扫描：最有效的方式，彻底扫描设备上的每个文件。尽管可能需要较长时间完成（取决于服务器目录大小），但这是最有效的选项。
   • 自定义扫描：可配置扫描以下文件路径，其中观察到威胁参与者的恶意文件：
     • %IIS installation path%\aspnet_client\*
     • %IIS installation path%\aspnet_client\system_web\*
     • %Exchange Server installation path%\FrontEnd\HttpProxy\owa\auth\*
     • 配置的临时ASP.NET文件路径
     • %Exchange Server Installation%\FrontEnd\HttpProxy\ecp\auth\*

这些修复步骤对已知攻击模式有效，但不能保证完全缓解所有可能的漏洞利用。Microsoft Defender将继续监控并提供最新安全更新。

相关CVE

• CVE-2021-26855
• CVE-2021-26857
• CVE-2021-26858
• CVE-2021-27065

部分缓解措施