本地Exchange服务器漏洞资源中心:关键安全更新与响应指南

本文详细介绍了2021年3月发现的Microsoft Exchange Server本地部署漏洞,包括CVE编号、攻击链分析、紧急修补指南、入侵检测方法及响应步骤,帮助管理员保护系统安全。

本地Exchange服务器漏洞资源中心 - 2021年3月25日更新

2021年3月2日,我们发布了多个Microsoft Exchange Server安全更新,以解决正在被持续利用的漏洞。由于这些漏洞的关键性,我们建议客户立即为受影响系统打补丁以保护其组织。

这些漏洞影响Exchange Server 2013、2016和2019版本,而Exchange Server 2010也出于深度防御目的进行了更新。Exchange Online不受影响。

这些漏洞被作为攻击链的一部分利用。初始攻击需要能够与Exchange服务器建立不受信任的连接,但如果攻击者已经具有访问权限或通过其他方式获得访问权限,则可以触发攻击的其他部分。这意味着限制不受信任连接或设置VPN等缓解措施仅能防护攻击的初始部分,改变攻击面或部分缓解,而打补丁是唯一完全缓解的方法。

自这些补丁发布以来,我们已发布多篇文章和博客文章,帮助客户理解这些漏洞及其利用模式,并分享了关于恶意行为者如何利用这些漏洞和针对客户的详细指南。我们意识到有很多细节需要理解,因此添加了此摘要,为安全事件响应者和Exchange管理员提供保护其Exchange环境所需采取的步骤指南。

组织在采取行动前应审查并消化整个指南,因为实现响应目标所采取的具体行动顺序是情境性的,取决于调查结果。

执行摘要和背景信息

Microsoft持续调查近期Exchange Server本地部署攻击的范围。我们的目标是提供最新的威胁情报、入侵指标(IOC)和跨产品和解决方案的指南,以帮助社区响应、加固基础设施并开始从此次前所未有的攻击中恢复。随着新信息的出现,我们将在https://aka.ms/ExchangeVulns更新本文。

  • 2021年3月25日 - 分析利用Exchange Server漏洞的攻击

  • 2021年3月25日 - 使用Azure Sentinel进行Web Shell威胁狩猎

  • 2021年3月18日 - Microsoft Defender Antivirus中现提供自动本地Exchange Server缓解

  • 2021年3月16日 - 响应者指南:调查和修复本地Exchange Server漏洞

  • 2021年3月15日 - 一键Microsoft Exchange本地缓解工具

  • 2021年3月8日 - 3月8日Exchange团队博客

  • 2021年3月5日 - Microsoft Exchange Server漏洞缓解

  • 2021年3月2日 - Microsoft安全博客:Hafnium针对Exchange

  • 2021年3月2日 - Exchange团队博客

CVE编号

  • CVE-2021-26855
  • CVE-2021-26857
  • CVE-2021-26858
  • CVE-2021-27065

与已知攻击无关

  • CVE-2021-26412
  • CVE-2021-26854
  • CVE-2021-27078

攻击和利用概述

Microsoft最初跟踪到对手组HAFNIUM针对特定组织发起定向攻击。最近其他对手组也开始针对这些漏洞,我们预计随着攻击者调查和自动化利用这些漏洞,这些攻击将继续增加。并非所有这些立足点都被立即利用,有些可能是为未来利用而放置的。详细概述可在此处获取:HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security

虽然一些对手组尽可能广泛地安装Web Shell以供未来使用,但一些组还在受感染的服务器上进行进一步操作,并尝试横向移动到组织环境中以建立更深的持久性。本文档提供了修复Web Shell和确定对手初始入口的说明。

检测到或怀疑更高级的后利用活动(如凭据转储、横向移动和安装更多恶意软件/勒索软件)的组织应考虑聘请网络安全响应专业人员的服务。调查和修复跨IT环境的后利用超出了本博客的范围,但我们希望组织了解我们建议他们基于与这些漏洞利用相关的行为模式开始调查的地方。

推荐响应步骤

成功的响应需要能够在不被攻击者窃听的情况下进行通信。在确保当前基础设施上通信的隐私性之前,使用完全隔离的身份和通信资源来协调响应并讨论可能向攻击者透露调查情况的话题。

成功的响应应包括以下步骤:

  1. 为受影响的Exchange Server部署更新。
  2. 调查是否被利用或存在持久性指标。
  3. 修复任何已识别的利用或持久性,并调查环境中是否存在横向移动或进一步入侵的指标。

Microsoft建议并行更新和调查,但如果必须优先处理一个,请优先更新和缓解漏洞。

立即更新或缓解受影响的Exchange部署至关重要。这些漏洞正被多个对手组积极利用。为获得最高保证,在Exchange服务器打补丁或缓解之前,阻止从不信任网络访问易受攻击的Exchange服务器。如果尚未打补丁且未应用下面引用的缓解措施,一键工具Exchange On-premises Mitigation Tool现在是我们推荐的缓解路径,直到您可以打补丁。

如果您是经验丰富的IT专业人员或事件响应者,请查看我们的响应者指南以获取更详细的建议,这些建议将在Microsoft有关于响应这些攻击的新信息时持续更新。

为受影响的Exchange Server部署更新

如果您没有环境中运行Exchange的服务器的清单,可以使用Microsoft提供的nmap脚本扫描网络中的易受攻击的Exchange部署。对于环境中的Exchange服务器,立即应用您运行的Exchange版本的更新。虽然这些安全更新不适用于Exchange Online / Office 365,但如果您处于混合模式,则需要将它们应用于本地Exchange Server,即使它仅用于管理目的。如果使用混合配置向导(HCW),则不需要重新运行。我们打补丁指南的高级摘要如下:

  • Exchange Online不受影响。
  • Exchange 2003和2007不再受支持,但据信不受2021年3月漏洞的影响。您必须升级到受支持的Exchange版本,以确保能够保护部署免受Microsoft Exchange当前版本中修复的漏洞以及未来安全问题的修复。
  • Exchange 2010仅受CVE-2021-26857影响,这不是攻击链的第一步。组织应应用更新,然后按照以下指南调查潜在的利用和持久性。
  • Exchange 2013、2016和2019受影响。立即部署更新或应用下面描述的缓解措施。有关帮助识别从当前CU版本到具有最新安全补丁的版本所需的更新,请遵循此指南:Released: March 2021 Exchange Server Security Updates - Microsoft Tech Community。您可以使用此处链接的Health Checker脚本来帮助识别部署所需的CU。Microsoft还发布了针对选定较旧Exchange CU的额外安全更新,以加速它们打补丁的路径。

缓解措施:如果由于某种原因无法立即更新Exchange服务器,我们发布了如何通过重新配置来缓解这些漏洞的说明。我们认识到将最新补丁应用到Exchange服务器可能需要时间和规划,特别是如果组织不在最新版本和/或相关的累积和安全补丁上。我们建议优先在面向外部的Exchange服务器上安装补丁,但所有受影响的Exchange服务器都应紧急更新。建议的缓解措施不是安装更新的替代方案,并且在实施时会影响某些Exchange功能。应用替代缓解措施的详细指南在此处提供:Microsoft Exchange Server Vulnerabilities Mitigations – March 2021

应用更新或替代缓解技术不会驱逐已经入侵环境的对手。本文档的其余部分分享了帮助您确定在缓解问题之前Exchange服务器是否被利用以及如何修复某些类型攻击的指南。

调查利用、持久性或横向移动证据

除了保护Exchange服务器免受利用外,您还应评估以确保漏洞在您将其置于受保护状态之前未被利用。

  • 扫描已知的Web Shell。Microsoft Defender团队在最新版本的Microsoft Safety Scanner中包含了与这些漏洞相关的已知恶意软件的安全情报。在环境中的每个Exchange服务器上运行此安全扫描器。如果需要帮助,详细指南可在此处找到:CSS-Exchange/Defender-MSERT-Guidance.md at main · microsoft/CSS-Exchange · GitHub
  • 对于Microsoft Defender和Microsoft Defender for Endpoint客户,请确保您处于最新的安全情报补丁:Latest security intelligence patches for Microsoft Defender Antivirus and other Microsoft antimalware - Microsoft Security Intelligence
  • 使用Microsoft IOC feed获取新观察到的指标。为了帮助防御者在可能未部署Microsoft安全产品和工具的情况下调查这些攻击,我们发布了一个观察到的入侵指标(IOC)feed。在相关攻击中观察到的恶意软件哈希和已知恶意文件路径的feed在以下GitHub链接中以JSON和CSV格式提供。此信息以TLP:WHITE共享(所有人可自由使用):
    • CSV格式
    • JSON格式
  • 除了这些工具外,利用其他组织安全能力。上述工具使Microsoft积累的与这些漏洞利用相关的威胁情报对所有组织可用。您的组织可能也有自己的安全控制措施,我们建议您在当前安全控制措施中也增加对来自Exchange服务器的信号的警惕性。

修复任何已识别的利用或持久性

如果发现任何利用证据(例如,在Exchange应用程序日志中),确保保留日志,并使用时间戳和源IP等详细信息驱动进一步调查。

如果使用端点安全解决方案、Microsoft IOC feed或Microsoft Safety Scanner发现已知恶意文件,请采取以下行动:

  • 修复并隔离它们以进行进一步调查,除非它们是环境中预期的自定义。
  • 搜索IIS日志以识别是否访问了被识别为恶意的文件。
  • 考虑按照此指南将可疑恶意文件提交给Microsoft进行分析:Submit files for analysis by Microsoft - Windows security | Microsoft Docs,并在提交表单的“附加信息”文本框中包含字符串“ExchangeMarchCVE”。

作为狩猎和扫描的一部分,如果发现统一消息RCE(CVE-2021-26857)的利用证据,应删除%ExchangeInstallPath%\UnifiedMessaging\voicemail中可能未清理的利用文件。

如果发现任何外部访问上述可疑文件的证据,使用此信息驱动对受影响服务器和整个环境的进一步调查。我们关于Hafnium攻击的博客文章为需要IOC、文件哈希等额外详细信息的人员提供了详细信息:HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security

如果任何安全检测或调查工具结果使您怀疑Exchange服务器已被入侵且攻击者已积极参与您的环境,执行安全事件响应计划,并考虑聘请经验丰富的事件响应协助。如果您怀疑Exchange环境被持久对手入侵,使用本文档前面提到的替代通信渠道协调响应尤为关键。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次