Exchange Server 紧急安全更新发布（非定期） | MSRC 博客

日本安全团队
2021年3月2日 / 25分钟阅读

2021年3月3日（日本时间），Microsoft针对在有限针对性攻击中使用的Exchange漏洞发布了非定期安全更新。

受影响的产品包括：

Microsoft Exchange Server 2019
Microsoft Exchange Server 2016
Microsoft Exchange Server 2013
Microsoft Exchange Server 2010（从纵深防御角度进行修复）

※ Exchange Online 不受影响。

为保护系统免受漏洞利用攻击并防止整个生态系统的滥用，建议客户立即为上述产品应用安全更新。

这些漏洞被用作攻击链的一部分。攻击初始阶段需要与Exchange Server的443端口建立不受信任的连接。通过限制不受信任的连接或使用VPN将Exchange Server与外部访问隔离，可以从攻击初始阶段保护系统。但请注意，这些缓解措施仅能改变攻击初始阶段的攻击面或提供有限的规避方法。应用安全更新是完全避免漏洞影响的唯一方法。

自安全更新发布以来，Microsoft已公开多种信息以帮助客户理解这些漏洞和攻击模式，并分享了攻击者利用这些漏洞的方法及针对客户的攻击方式的详细指南。Microsoft意识到存在大量详细信息可加深客户理解，因此在此汇总了Microsoft的指南，以帮助安全事件响应者和Exchange管理员执行保护Exchange环境安全所需的步骤。

实施响应步骤的顺序因情况而异，并取决于各环境中泄露情况的调查结果，因此在执行每个步骤之前，请确保您的组织全面理解本指南并评估对策顺序。

摘要和背景信息

Microsoft持续调查当前对本地Exchange Server攻击的扩散情况。我们的目标是提供最新的威胁情报、泄露指标（IOC）以及跨产品和解决方案的指南，以帮助社区响应并加强基础设施，从而从前所未有的攻击中恢复。一旦确认新信息，我们将更新此博客文章。最新英文信息请参阅 https://aka.ms/ExchangeVulns。

攻击手法概述

Microsoft最初追踪了针对特定组织的针对性攻击团体HAFNIUM。最近，其他攻击团体也开始关注这些漏洞，预计随着攻击者研究和自动化这些漏洞的攻击，此类攻击将持续增加。并非所有攻击入口都会立即被利用，部分可能是为未来攻击而设置的。详情请参阅MSTIC博客。

一些攻击团体会尽可能广泛地安装Web Shell以供未来使用，而其他团体则会在受感染的服务器上执行进一步操作，试图横向移动以建立更深的持久性。本博客将指导如何修复Web Shell并识别敌人的初始入侵。

对于已确认或怀疑存在更高级别泄露行为（如凭据提取、横向移动以及安装更多恶意软件或勒索软件）的组织，请考虑积极利用网络安全专家的服务。调查和恢复成功攻击后的整个IT环境行为超出了本博客的范围，但我们将基于与当前Exchange漏洞攻击相关的已确认行为模式，帮助您理解从何处开始调查。

为Exchange Server应用安全更新

如果您的环境中没有运行Exchange的服务器的资产管理列表，可以使用Microsoft在GitHub上共享的nmap脚本扫描网络上的易受攻击Exchange Server。请立即为环境中的每个Exchange Server应用相应版本的安全更新。指南摘要如下：

Exchange Online不受影响。
Exchange 2003/2007已终止支持，但据信不受当前漏洞影响。请升级到受支持的Exchange版本以应对当前已修复的漏洞和未来的安全问题。
Exchange 2010仅受CVE-2021-26857影响。此漏洞不是攻击链的初始步骤。组织应在应用安全更新后，按照以下指南调查攻击和持久性入侵的可能性。
Exchange 2013/2016/2019受影响。请立即应用安全更新或实施下述缓解措施。要确定从当前CU版本到最新安全更新版本所需的更新，请参阅此指南。可以使用GitHub上的Health Checker脚本来确定环境中需要哪些CU。为加速应对这些漏洞，Microsoft还为一些过去的CU发布了安全更新。

缓解措施：对于因某种原因无法立即更新Exchange Server的客户，我们发布了通过配置更改来规避这些漏洞的步骤。特别是，Microsoft认识到，如果未使用可立即应用安全更新的版本，为Exchange Server应用最新安全更新可能需要时间且需要制定应用计划。在这种情况下，我们建议优先为面向外部网络的Exchange Server应用安全更新，但请尽快更新所有受影响的Exchange Server。缓解措施不是安全更新的替代方案，且实施缓解措施期间会影响Exchange功能。缓解措施的详细指南请参阅“Exchange Server漏洞缓解措施”。

请注意，应用安全更新或缓解措施无法清除已入侵服务器的攻击者。本博客后半部分将指导如何确认在应对这些漏洞之前您的Exchange Server是否已被攻击，以及如何从某些攻击中恢复。

调查攻击、持久性入侵和横向移动的证据

在确定环境受保护之前，除了保护Exchange Server免受漏洞利用外，还需评估这些漏洞是否已被利用。

分析Exchange产品日志以检查利用痕迹：MSTIC博客发布了包括自动化脚本在内的分析步骤。使用脚本时，可以选择部分或全面扫描Exchange Server。
扫描已知Web Shell：Microsoft Defender团队已将与此漏洞相关的已知恶意软件的安全情报纳入最新版本的Microsoft Safety Scanner。请在环境中的所有Exchange Server上运行此Safety Scanner。详细指南请参阅此GitHub。 ※ 使用Microsoft Defender或Microsoft Defender for Endpoint的客户，请确保安全情报为最新。详情请参阅此网站。
利用Microsoft IOC源检查新发现的迹象：针对未使用Microsoft安全产品或工具的客户，我们公开了已确认的泄露指标（IOC）源。与攻击相关的已确认恶意软件哈希值和已知恶意文件路径的源可通过以下GitHub链接以JSON和CSV格式获取。此信息以TLP:WHITE（可自由使用）共享。
- CSV格式
- JSON格式

除这些工具外，请利用组织的其他安全功能。上述工具旨在让所有组织都能利用Microsoft为此漏洞利用积累的威胁情报。如果您的组织拥有自己的安全控制，建议也提高对Exchange Server信号警报级别。

修复已识别的攻击和持久性入侵

如果在Exchange应用程序日志等中发现利用痕迹，请保存日志并利用时间戳和源IP等详细信息进行进一步调查。

如果使用端点安全产品、Microsoft提供的IOC源或Microsoft Safety Scanner发现已知恶意文件，请执行以下操作：

如果该文件不是您环境中的定制文件，请将其隔离并修复。
搜索IIS日志，检查攻击者是否访问了文件。
如果可能，请按照此指南将可疑恶意文件共享给Microsoft进行分析。此时，请在“Additional Information”文本框中输入“ExchangeMarchCVE”。

作为搜寻和扫描的一部分，如果发现统一消息漏洞（CVE-2021-26857）的攻击证据，请删除%ExchangeInstallPath%\UnifiedMessaging\voicemail下的不干净可疑攻击文件。

如果发现上述识别的外部文件访问证据，请利用MSTIC博客中记载的IOC和文件哈希等附加信息推进对受影响服务器和整个环境的调查。

如果您的安全产品或调查工具的结果表明Exchange Server已被入侵或攻击者可能在您的环境中活跃，请执行您的安全事件响应计划，并考虑寻求熟练的事件响应者帮助。如果您的Exchange环境可能已被潜伏的攻击者入侵，如本博客前半部分所述，使用替代沟通方式协调响应尤为重要。

———————————

2021年3月11日：根据英文博客文章更新内容。
2021年3月17日：更新参考信息。
2021年3月19日：根据英文博客文章更新内容。

Exchange Server 紧急安全更新与漏洞缓解指南

本文详细介绍了Microsoft针对Exchange Server漏洞发布的紧急安全更新，包括CVE编号、攻击链分析、缓解措施、调查步骤和修复指南，帮助管理员保护企业邮件系统安全。