Exchange Server 漏洞的缓解措施

本文是「Microsoft Exchange Server Vulnerabilities Mitigations – March 2021」的日语摘译。微软强烈建议客户将本地 Exchange 环境升级到最新支持的版本。对于无法立即应用安全更新的客户，本文提供替代缓解措施，以帮助需要时间部署安全更新或必须暂时接受风险以维持服务功能的客户。

这些缓解措施不能作为服务器已被入侵的恢复方案，也不能提供完全保护。强烈建议使用本文所述的入侵调查方法确认 Exchange 环境未被入侵。建议在应用以下任一缓解措施步骤之后或同时进行调查。本文提到的所有脚本和工具均在 GitHub 上公开。

根据客户环境的优先级，选择以下缓解措施步骤之一。

推荐的规避措施

• 应用安全更新
  • 这是唯一的完全规避措施，且不影响功能性。
  • 详细方法请参考以下英文文章： https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
  • 安全更新无法清除已入侵服务器的攻击者。

Exchange Server 2013/2016/2019 无法应用安全更新时的临时缓解措施

• 引入 IIS 重写规则以过滤恶意 HTTPS 请求
• 禁用统一消息服务 (UM)
• 禁用 Exchange 控制面板 (ECP) VDir
• 禁用离线地址簿 (OAB) VDir 服务

这些缓解措施可以通过以下 ExchangeMitigations.ps1 脚本应用或回滚。但已确认会对 Exchange Server 的功能性产生影响。缓解措施仅对当前普遍发现的攻击有效，不能保证完全缓解漏洞，也无法清除已入侵服务器的攻击者。仅可作为安全更新完全部署前的临时缓解措施。

ExchangeMitigations.ps1

详情 此脚本包含针对以下漏洞的缓解措施：

• CVE-2021-26855
• CVE-2021-26857
• CVE-2021-27065
• CVE-2021-26858

此脚本需在权限提升的 Exchange PowerShell 会话或 Exchange Management Shell 中运行。详细信息请参考 GitHub。

后端 Cookie 缓解措施

目标: CVE-2021-26855
详情: 此缓解措施过滤包含恶意 X-AnonResource-Backend 或异常 X-BEResource Cookie 的 HTTPS 请求，这些请求在已知的 SSRF 攻击中被使用。它仅针对已知模式提供保护，而非所有 SSRF。
注意事项: IIS 重写规则在 Exchange 升级后会被删除，如果未应用安全更新，需重新应用此缓解措施。
前提条件: URL Rewrite Module

• IIS 10 及以上需使用 URL Rewrite Module 2.1，可从以下页面下载 x86/x64 版本： https://www.iis.net/downloads/microsoft/url-rewrite
• IIS 8.5 及以下需使用 URL Rewrite Module 2.0，可从以下页面下载： x86 – https://www.microsoft.com/en-us/download/details.aspx?id=5747
  x64 – https://www.microsoft.com/en-us/download/details.aspx?id=7435

对 Exchange 的影响: 未确认对已知 Exchange 功能的影响，但测试有限。
在 IIS 8.5 及以下安装 URL Rewrite version 2.1 可能导致 IIS 或 Exchange 不稳定。如果 URL Rewrite Module 与 IIS 版本不匹配，ExchangeMitigations.ps1 可能无法应用 CVE-2021-26855 的缓解措施。请卸载 URL Rewrite Module 并重新安装正确版本。

统一消息服务 (UM) 缓解措施

目标: CVE-2021-26857
详情: 此缓解措施禁用 Exchange 的统一消息服务。为避免缓解措施被还原，同时禁用 Exchange 的可用性管理服务。
对 Exchange 的影响: 统一消息服务和语音邮件不可用。禁用 Exchange 可用性管理服务会同时禁用高级监控功能。

ECP 应用程序池缓解措施

目标: CVE-2021-27065、CVE-2021-26858
详情: 此缓解措施禁用 ECP 虚拟目录。为避免缓解措施被还原，同时禁用 Exchange 的可用性管理服务。
对 Exchange 的影响: Exchange 控制面板离线并返回 503 错误。所有 Exchange 管理员需使用远程 PowerShell 操作。禁用 Exchange 可用性管理服务会同时禁用高级监控功能。

OAB 应用程序池缓解措施

目标: CVE-2021-27065、CVE-2021-26858
详情: 此缓解措施禁用 OAB 应用程序池。为避免缓解措施被还原，同时禁用 Exchange 的可用性管理服务。
对 Exchange 的影响: OAB 不可用，包括 Outlook 中的离线地址簿下载，导致某些场景和配置不是最新状态。禁用 Exchange 可用性管理服务会同时禁用高级监控功能。

额外入侵调查方法

用于扫描 CVE-2021-26855 的 Nmap 脚本

详情: 检测特定 URL 是否对 Exchange Server 的 SSRF 漏洞 (CVE-2021-26855) 脆弱。可用于评估安全更新状态或暴露服务器的缓解措施状态。

Test-ProxyLogon.ps1

详情: 此脚本检查目标 Exchange Server 是否存在 Proxy Logon 入侵迹象。Proxy Logon 漏洞涉及 CVE-2021-26855/CVE-2021-26858/CVE-2021-26857/CVE-2021-27065。此脚本需在权限提升的 Exchange Management Shell 中运行。

用于扫描 Exchange Server 的 Microsoft Support Emergency Tool (MSERT)

Microsoft Defender 包含安全智能，可将 Microsoft Safety Scanner (MSERT.EXE) 更新至最新版本，以检测和修复利用 2021 年 3 月 2 日（美国时间）公开的 Exchange Server 漏洞的最新已知威胁。

管理员可将其用于无法通过 Microsoft Defender for Endpoint 或后续推荐的文件夹排除配置保护的服务器。

使用 Microsoft Support Emergency Tool (MSERT) 扫描 Exchange Server 以确认攻击者已知入侵痕迹的方法如下：

1. 从 Microsoft Safety Scanner Download – Windows security 下载 MSERT。 注意: 如需故障排除，请参考此文章。
2. 阅读并接受最终用户许可协议 (EULA)，点击“Next”。
3. 阅读 Microsoft Safety Scanner 隐私政策，点击“Next”。
4. 选择执行完整扫描或自定义扫描。
   • 完整扫描: 最有效的方法，彻底扫描设备上的所有文件。根据服务器目录大小，可能需要较长时间，但是最有效的选项。
   • 自定义扫描: 可配置扫描以下已知攻击者恶意文件路径：
     • %IIS installation path%\aspnet_client\*
     • %IIS installation path%\aspnet_client\system_web\*
     • %Exchange Server installation path%\FrontEnd\HttpProxy\owa\auth\*
     • 临时 ASP.NET 文件配置的路径
     • %Exchange Server Installation%\FrontEnd\HttpProxy\ecp\auth\*

这些恢复措施对已知攻击模式有效，但不能保证完全缓解所有与本次 Exchange 漏洞相关的攻击。Microsoft Defender 将继续监控并提供最新安全更新。

———————————

• 2021 年 3 月 12 日: 根据英文博客文章更新内容。