深入解析Exchange Server漏洞:响应者调查与修复指南

本文详细介绍了针对本地Exchange Server漏洞CVE-2021-26855等的调查与修复方法,包括漏洞利用原理、检测工具使用、临时缓解措施以及完整的修复流程,帮助组织有效应对安全威胁。

响应者指南:调查与修复本地Exchange Server漏洞

本指南将帮助客户应对利用近期披露的Microsoft Exchange Server本地漏洞(CVE-2021-26855、CVE-2021-26858、CVE-2021-26857和CVE-2021-27065)的威胁。这些漏洞正在被积极利用。我们强烈建议客户立即更新系统。未能解决这些漏洞可能导致本地Exchange Server及其他内部网络部分被入侵。

缓解这些漏洞并调查对手是否已入侵环境应并行进行。应用2021年3月Exchange Server安全更新对于防止(再次)感染至关重要,但不会驱逐已入侵服务器的对手。根据调查结果,可能需要进行修复。本指南将帮助您回答以下问题:

  • 攻击如何工作?
  • 我是否易受此威胁?
  • 如何缓解威胁?
  • 我是否已被入侵?
  • 应采取哪些修复步骤?
  • 如何更好地保护自己并监控可疑活动?

观看此视频以更好地了解与这些漏洞相关的风险,并获取相关的缓解、调查和修复指导: https://www.youtube.com/watch?v=w-L3gi4Cexo

Microsoft将持续监控这些威胁,并提供更新的工具和调查指南,以帮助组织防御、识别和修复相关攻击。随着我们对这些威胁及其背后威胁行为者的了解不断深入,我们将更新本指南,添加新的细节和建议,因此请返回此页面获取更新。

攻击如何工作?

Microsoft发布了针对四个不同的本地Microsoft Exchange Server零日漏洞(CVE-2021-26855、CVE-2021-26858、CVE-2021-26857和CVE-2021-27065)的安全更新。这些漏洞可以组合使用,以允许在运行Exchange Server的设备上未经身份验证的远程代码执行。Microsoft还观察到在攻击期间随后的Web Shell植入、代码执行和数据外泄活动。这一威胁可能因许多组织将Exchange Server部署发布到互联网以支持移动和远程工作场景而加剧。

在许多观察到的攻击中,攻击者在成功利用CVE-2021-26855(允许未经身份验证的远程代码执行)后采取的第一步是通过Web Shell建立对受损环境的持久访问。Web Shell是一段恶意代码,通常用典型的Web开发编程语言(如ASP、PHP、JSP)编写,攻击者将其植入Web服务器以提供远程访问和服务器功能的代码执行。Web Shell允许对手执行命令并从Web服务器窃取数据,或使用服务器作为进一步攻击受影响组织的启动平台。因此,不仅立即缓解漏洞至关重要,还要移除攻击者可能创建的任何其他后门,如Web Shell。

我是否易受此威胁?

如果您正在运行Exchange Server 2010、2013、2016或2019,则必须应用2021年3月安全更新以保护自己免受这些威胁。

要确定您的Exchange Server是否易受此攻击,可以使用以下方法:

  • 使用Microsoft Defender for Endpoint
  • 使用Nmap扫描Exchange Server

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint客户可以使用Microsoft 365安全中心的威胁分析文章来了解其风险。这要求您的Exchange Server已加入Microsoft Defender for Endpoint。请参阅加入当前未监控的服务器的说明。

使用Nmap脚本扫描

对于未加入Microsoft Defender for Endpoint的服务器,使用此Nmap脚本扫描URL/IP以确定漏洞:http-vuln-cve2021-26855.nse。

如何缓解威胁?

对这些威胁最好和最完整的缓解方法是更新到受支持的Exchange Server版本并确保其完全更新。如果无法立即移动到当前Exchange Server累积更新并应用安全更新,以下提供了额外的缓解策略。这些较弱的缓解策略仅是在安装最新累积更新和安全更新期间的临时措施。

立即临时缓解

以下缓解选项可以帮助保护您的Exchange Server,直到可以安装必要的安全更新。这些解决方案应视为临时措施,但可以在完成额外缓解和调查步骤时增强安全性。

  • 运行EOMT.ps1(推荐)– Exchange本地缓解工具(EOMT.ps1)缓解CVE-2021-26855并尝试发现和修复恶意文件。运行时,它将首先检查系统是否易受CVE-2021-26855攻击,如果是,则安装缓解措施。然后自动下载并运行Microsoft Safety Scanner(MSERT)。当您的Exchange Server具有互联网访问时,这是首选方法。
  • 运行ExchangeMitigations.ps1– ExchangeMitigations.ps1脚本应用缓解措施但不执行额外扫描。这是用于没有互联网访问的Exchange Server或不想让Microsoft Safety Scanner尝试移除发现的恶意活动的客户的选项。

应用当前Exchange Server累积更新

最好、最完整的缓解方法是获取当前累积更新并应用所有安全更新。这是提供最强保护防止入侵的推荐解决方案。

请参阅安装说明:已发布:2021年3月Exchange Server安全更新。

观看以下视频以获取应用安全更新的指导: https://www.youtube.com/watch?v=7gtO2G6Zack

对旧累积更新应用安全修补程序

为了帮助可能需要额外时间和规划才能到达受支持累积更新的组织,已提供安全修补程序。需要注意的是,对这些旧累积更新应用安全修补程序将缓解这些特定Exchange漏洞,但不会解决您的Exchange Server可能易受的其他潜在安全风险。此方法仅推荐作为移动到受支持累积更新期间的临时解决方案。

请参阅安装说明:2021年3月Exchange Server安全更新用于旧累积更新。

隔离Exchange Server

为了减少漏洞利用的风险,可以通过阻止通过端口443的入站连接将Exchange Server与公共互联网隔离。

阻止端口443接收入站互联网流量在应用安全更新之前提供临时保护,但会减少功能,因为它可能抑制远程工作或其他非VPN远程工作场景,并且不保护可能已存在于内部网络中的对手。

完成此操作的最全面方法是使用当前路由入站443流量的外围防火墙来阻止此流量。您可以使用Windows防火墙来完成此操作,但必须在阻止流量之前移除所有入站443流量规则。

我是否已被入侵?

要确定您的Exchange Server是否因这些漏洞而被入侵,已提供多个选项:

  • Microsoft Defender for Endpoint
  • Microsoft发布的公开可用工具

如果未运行Microsoft Defender for Endpoint,请直接跳到公开可用工具部分。如果正在运行,我们建议您遵循两种方法。

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint使您能够了解您的态势、调查威胁并对利用这些漏洞的攻击采取修复行动。观看以下视频以获取使用Microsoft Defender for Endpoint的指导: https://www.youtube.com/watch?v=bitgE0CCmV4

检查Microsoft 365安全中心的威胁分析文章以确定是否观察到任何利用迹象。Microsoft 365安全中心威胁分析文章中的分析师报告选项卡包含持续更新的威胁、行为者、漏洞利用和TTP的详细描述。在概述页面上,受影响资产部分列出了所有受影响设备。相关事件部分显示了检测到的利用或后利用活动的任何警报。

如果您有被标记为受影响的设备(参见受影响资产部分)并有活动警报和事件,点击事件以进一步了解攻击范围。

Microsoft Defender for Endpoint阻止此威胁的多个组件,并对相关恶意行为有额外检测。这些在Microsoft Defender安全中心中作为警报提出。此外,Microsoft Defender for Endpoint防止攻击中观察到的一些关键行为,例如尝试利用CVE-2021-27065后身份验证文件写入漏洞,该漏洞可与CVE-2021-26855结合以提升权限。

Microsoft Defender for Endpoint还检测后利用活动,包括攻击者用于在机器上保持持久性的一些技术。请注意,标记为“已阻止”的警报表示检测到的威胁也已修复。标记为“已检测”的警报需要安全分析师审查和手动修复。

您可以使用高级搜寻来搜索在Exchange文件夹中意外丢弃或执行的文件,这些文件可能是Web Shell或其他攻击者工件。请参阅威胁分析中的分析师报告和我们的GitHub查询存储库中与此威胁相关的更多高级搜寻查询。

Microsoft发布的公开可用工具

Microsoft已提供以下工具以帮助客户调查其Microsoft Exchange Server是否被入侵。我们建议客户在调查中运行这两种工具:

Exchange本地缓解工具

在Exchange Server上下载并作为管理员运行EOMT.ps1以自动运行最新版本的Microsoft Safety Scanner(MSERT)。MSERT发现并修复Web Shell,这些是对手用于在服务器上保持持久性的后门。观看以下视频以获取如何使用Exchange本地缓解工具的指导: https://www.youtube.com/watch?v=BE_MO0xwjFI

完成扫描后,EOMT.ps1报告它发现和移除的任何恶意文件。如果工具发现并移除了恶意文件,请遵循Web Shell修复工作流。如果未找到恶意文件,它将报告“未检测到已知威胁”。

如果此初始扫描未找到恶意文件证据,可以通过“.\EOMT.ps1 -RunFullScan”运行完整扫描。这可能需要几小时或几天,具体取决于您的环境和Exchange Server上的文件数量。

如果脚本无法下载Microsoft Safety Scanner(MSERT),您可以手动下载并复制MSERT到您的Exchange Server。直接作为管理员运行此可执行文件。按照屏幕说明运行快速或完整扫描。每次运行时应下载新版本的MSERT以确保包含最新保护。观看以下视频以获取如何运行Microsoft Safety Scanner的指导:

https://www.youtube.com/watch?v=BClIOXku5UM

Test-ProxyLogon脚本

作为管理员运行Test-ProxyLogon.ps1脚本以分析Exchange和IIS日志并发现潜在攻击者活动。观看以下视频以获取如何使用Test-ProxyLogon脚本的指导: https://www.youtube.com/watch?v=FZm3uekVHL8

重要:如果您的调查工作持续多天,我们建议至少每天重新下载此工具一次,因为我们持续更新以改进其使用和输出。

观看以下视频以获取如何检查Test-ProxyLogon脚本结果的指导: https://www.youtube.com/watch?v=bHX2CrHhcS4

步骤1 - 审查脚本输出以确定风险:

  • 如果脚本未找到攻击者活动,它输出消息“未检测到可疑内容”
    • 继续到扫描修复工作流。
  • 如果找到攻击者活动,脚本报告它找到使用证据的漏洞,并收集存储在指定输出路径Test-ProxyLogonLogs目录中的日志。继续遵循这些步骤进行修复。以下是输出示例:

步骤2 - 调查CVE-2021-27065:

  • 如果检测到CVE-2021-27065,则调查指定日志中包含Set-OabVirtualDirectory的行。这表示文件被写入服务器。
  • 调查Web服务器目录中的新或最近修改的.aspx文件或其他可能包含异常 comments powered by Disqus