深入解析Exchange Server漏洞:调查与修复全面指南

本文详细介绍了针对本地Exchange Server漏洞CVE-2021-26855等的调查和修复方法,包括漏洞利用方式、检测工具使用、缓解措施实施以及入侵后的恢复策略,帮助组织有效应对网络安全威胁。

オンプレミス Exchange Server の脆弱性の調査や修復に対応する方向けのガイダンス

Japan Security Team / March 18, 2021 / 37 min read

这是「Guidance for responders: Investigating and remediating on-premises Exchange Server vulnerabilities」的日文摘要。 为了帮助客户应对最近公开且已确认攻击的本地Exchange Server漏洞CVE-2021-26855/CVE-2021-26858/CVE-2021-26857/CVE-2021-27065,我们发布本指南。如果这些漏洞的应对措施未正确实施,客户的Exchange环境及公司网络的其他部分可能会受到侵害。 请并行实施这些漏洞的缓解和攻击者是否已入侵环境的调查。应用3月发布的Exchange安全更新对于防止(再)感染至关重要,但无法清除已入侵服务器的攻击者。调查结果可能需要采取改进措施。您可以使用本指南确认以下问题:

  • 攻击是如何执行的?
  • 我的组织是否易受此威胁?
  • 如何缓解威胁?
  • 我的组织是否已被入侵?
  • 应选择哪种恢复策略?
  • 如何保护组织免受此威胁?如何监控可疑活动? 微软将持续监控这些威胁,并提供最新工具和调查指南,帮助组织识别、修复并保护免受一系列攻击。随着对这些威胁及其背后威胁行为者的了解加深,如有新的详细信息和推荐措施,我们将更新本指南。请定期查看此页面是否有更新。

攻击是如何执行的?

微软发布了针对影响本地Exchange Server的四个零日漏洞(CVE-2021-26855/CVE-2021-26858/CVE-2021-26857/CVE-2021-27065)的安全更新。这些漏洞被组合利用,允许在运行Exchange Server的设备上进行未经授权的远程代码执行。微软还确认在后续攻击中植入了Web Shell、执行代码及数据抽取行为。许多组织为移动和远程工作将Exchange Server部署在互联网上,加剧了此威胁的形势。 许多已确认的攻击首先成功利用CVE-2021-26855实现未经授权的远程代码执行,并通过Web Shell建立对受侵环境的持久访问。Web Shell是恶意代码的一部分,通常用ASP、PHP、JSP等Web开发编程语言编写。攻击者将Web Shell植入Web服务器,以便远程访问服务器功能并执行代码。攻击者使用Web Shell执行命令、从Web服务器抽取数据,并将该服务器用作对目标组织发起进一步攻击的跳板。因此,不仅需要紧急缓解漏洞,还必须清除攻击者创建的任何后门,如Web Shell。

我的组织是否易受此威胁?

如果您使用Exchange Server 2010/2013/2016/2019,请应用3月发布的安全更新以保护免受这些威胁。 要确定您的Exchange Server是否易受此攻击,可以使用以下方法:

  • 使用Microsoft Defender for Endpoint
  • 使用Nmap扫描Exchange Server

Microsoft Defender for Endpoint

使用Microsoft Defender for Endpoint的客户可以参考Microsoft 365安全中心的威胁分析报告来了解这些风险。这要求Exchange Server已注册到Microsoft Defender for Endpoint。有关注册当前未监控的服务器的方法,请参阅此Docs文章。

使用Nmap扫描

对于无法注册到Microsoft Defender for Endpoint的服务器,可以使用Nmap脚本扫描URL或IP以确认是否易受攻击。请使用http-vuln-cve2021-26855.nse。

如何缓解威胁?

缓解此漏洞的最佳且最完整的方法是将Exchange更新到支持的版本并确保其为最新状态。如果难以立即更新到支持的Exchange Server CU并应用安全更新,请查看以下附加缓解措施。这些方法是在应用最新CU和安全更新之前的临时缓解措施。

紧急应用临时缓解措施

以下缓解选项可以在应用所需安全更新之前保护Exchange Server。这些解决方案应视为临时措施,但在完成额外缓解和调查之前有助于增强安全性。

  • (推荐)运行EOMT.ps1 - 本地Exchange缓解工具(EOMT.ps1)可缓解CVE-2021-26855并尝试发现和修复恶意文件。运行此工具时,首先检查系统是否对CVE-2021-26855易受攻击,如果是则安装缓解措施。然后自动下载并运行Microsoft Safety Scanner(MSERT)。这是Exchange Server连接到互联网时的最佳方法。
  • 运行ExchangeMitigations.ps1 - ExchangeMitigations.ps1脚本应用缓解措施但不执行额外扫描。这是为无法连接到互联网或不想使用Microsoft Safety Scanner删除发现的恶意活动的客户提供的选项。

应用支持的Exchange Server CU

缓解此漏洞的最佳且最完整的方法是将Exchange更新到支持的版本并应用所有安全更新。这是针对入侵提供最强大保护的推荐解决方案。详情请参阅「Released: March 2021 Exchange Server Security Updates」或以下指南视频: https://youtu.be/7gtO2G6Zack

对旧CU应用安全修复(hotfix)

对于需要额外时间和计划更新到支持CU的组织,提供了单独的安全修复(hotfix)。对这些旧CU应用安全修复(hotfix)对此漏洞有效,但不会解决其他漏洞的安全风险。仅推荐作为更新到支持CU之前的临时解决方案。详情请参阅「March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server」。

隔离Exchange Server

为减少漏洞被利用的风险,阻止443端口的入站连接并将其与公共互联网隔离。

  • 在应用安全更新之前,可以通过阻止来自互联网流量的入站443端口临时保护,但这可能影响家庭办公和其他不使用VPN的远程工作,导致功能下降。此外,它无法保护已入侵公司网络的攻击者。
  • 实现此策略的最全面方法是使用当前路由入站443流量的防火墙阻止流量。可以使用Windows防火墙实现,但在阻止流量之前,必须删除所有入站443流量的规则。

我的组织是否已被入侵?

有几种选项可用于确定您的Exchange Server是否因此漏洞而被入侵。

  • Microsoft Defender for Endpoint
  • 微软公开的工具 如果未运行Microsoft Defender for Endpoint,请转到微软公开的工具部分。如果正在运行,建议实施两种方法。

Microsoft Defender for Endpoint

使用Microsoft Defender for Endpoint可以了解安全状况、调查威胁并采取针对利用此漏洞的攻击的恢复措施。有关使用Microsoft Defender for Endpoint的指南,请参阅以下视频: https://youtu.be/bitgE0CCmV4

  • 检查Microsoft 365安全中心的威胁报告,确认是否有攻击指标(IOC)。Microsoft 365安全中心的威胁分析报告不断更新此威胁、行为者、攻击和TTP的详细信息。在概述页面的Impacted assets部分显示所有受影响的设备。Related incidents部分显示检测到的攻击和攻击成功后活动的警报。
  • 如果在Impacted assets部分有评估为impacted(受影响)的设备且有有效警报或事件,请单击事件以了解攻击范围。
  • Microsoft Defender for Endpoint可以阻止此威胁的几个组件并进一步检测相关的恶意活动。这些会在Microsoft Defender安全中心产生警报。Microsoft Defender for Endpoint可以预防此次攻击中确认的关键活动,例如利用CVE-2021-26855以及用于特权提升的认证后文件写入漏洞CVE-2021-27065的攻击尝试。
  • Microsoft Defender for Endpoint还检测攻击成功后的活动,包括攻击者用于在机器上持久入侵的一些技术。显示为“Blocked”的警报表明检测到的威胁已被修复。显示为“Detected”的警报需要安全分析员审查和手动修复。
  • 可以使用Advanced hunting搜索Web Shell和其他攻击工具导致的Exchange文件夹中意外文件丢弃或执行的可能性。有关此威胁相关的高级搜寻技术,请参阅「Analyst report in Threat Analytics」或「GitHub queries repository」。

微软公开的工具

以下微软公开的工具有助于调查Exchange Server是否被入侵。建议作为调查的一部分运行两种工具。

本地Exchange缓解工具

作为Exchange Server管理员,下载并运行EOMT.ps1会自动运行最新版本的Microsoft Safety Scanner(MSERT)。MSERT发现并修复攻击者用于持久入侵服务器的后门Web Shell。有关本地Exchange缓解工具使用方法的指南,请参阅以下视频: https://youtu.be/BE_MO0xwjFI

  • 扫描完成后,EOMT.ps1显示发现并删除的恶意文件。如果此工具发现并删除了恶意文件,请转到「应采取哪些改进措施?」部分。如果未找到恶意文件,则显示“No known threats detected”。
  • 如果首次扫描未找到恶意文件证据,可以使用“.\EOMT.ps1 -RunFullScan”运行完整扫描。根据Exchange Server上的文件数量和环境,这可能需要数小时到数天。
  • 如果脚本无法下载Microsoft Safety Scanner(MSERT),可以单独下载并手动将MSERT复制到Exchange Server。然后以管理员权限直接启动可执行文件。按照屏幕指示选择Quick或Full扫描。MSERT应在每次运行时下载新版本以包含最新保护。有关运行Microsoft Safety Scanner的方法指南,请参阅以下视频: https://youtu.be/BClIOXku5UM

Test-ProxyLogon.ps1

以管理员权限运行Test-ProxyLogon.ps1脚本可以分析Exchange和IIS日志,发现攻击者活动的可能性。有关Test-ProxyLogon脚本使用方法的指南,请参阅以下视频: https://youtu.be/FZm3uekVHL8 重要:此工具不断更新以改进使用方法和输出,因此如果使用此工具的调查需要数天,请至少每天重新下载一次。 有关调查Test-ProxyLogon脚本输出结果的指南,请参阅以下视频: https://youtu.be/bHX2CrHhcS4 步骤1 - 从脚本输出结果确定风险:

  • 如果脚本未找到攻击者活动,则显示“Nothing suspicious detected”。此时请转到「应选择哪种恢复策略?」部分。
  • 如果找到攻击者活动,则显示发现利用痕迹的漏洞,并收集保存在Test-ProxyLogonLogs目录中指定输出路径的日志。此时请执行以下修复步骤。 输出示例) 步骤2 - 调查CVE-2021-27065:
  • 如果显示CVE-2021-27065,请调查包含Set-OabVirtualDirectory的指定日志。这表明文件已写入服务器。
  • 调查Web服务器目录中是否有新的或最近修改的aspx文件或包含不熟悉 comments powered by Disqus