Microsoft Exchange Server中的四个零日漏洞已被链接使用在野袭击

CVE-2021-26855，CVE-2021-26857，CVE-2021-26858，CVE-2021-27065：被在野利用的Microsoft Exchange Server中的四个零日漏洞。

背景

美国时间3月2日，Microsoft发布了专门的安全公告，以解决Microsoft Exchange Server中四个在野外被利用的零日漏洞。

在一篇博客文章中，Microsoft将对这些缺陷的利用归因于一个名为HAFNIUM的国家背景资助的黑客组织。微软博客称，该组织历来以美国机构为目标，其中包括“传染病研究人员，律师事务所，高等教育机构，国防承包商，政策智囊团和非政府组织”。Volexity的研究人员还发表了一篇有关这种攻击的博客文章，称其为Operation Exchange Marauder。

该漏洞影响Microsoft Exchange Server的本地版本。Microsoft Exchange Online不受这些漏洞的影响。

• Microsoft Exchange Server 2013
• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019

分析

CVE-2021-26855是Microsoft Exchange Server中的SSRF漏洞。未经身份验证的远程攻击者可以通过将特制的HTTP请求发送到易受攻击的Exchange Server来利用此漏洞。为了利用此漏洞，微软表示，易受攻击的Exchange Server将需要能够通过端口443接受不受信任的连接。成功利用此漏洞将使攻击者可以向Exchange Server进行身份验证。

Volexity是发现CVE-2021-26855的三个小组之一，在其博客文章中解释说，它发现攻击者利用此漏洞“窃取了多个用户邮箱的全部内容。”攻击者利用此漏洞所需要做的就是知道Exchange Server的IP地址或完全限定域名（FQDN）以及他们希望定位的电子邮件帐户。

CVE-2021-26857是Microsoft Exchange中的不安全的反序列化漏洞。具体来说，该漏洞存在于Exchange统一消息服务中，该服务除了其他功能外还启用了语音邮件功能。要利用此漏洞，攻击者需要使用管理员权限向易受攻击的Exchange Server进行身份验证，或者首先利用另一个漏洞。成功的利用将授予攻击者任意的代码执行权限（SYSTEM）。

CVE-2021-26858和CVE-2021-27065都是Microsoft Exchange中的任意文件写入漏洞。这些缺陷是身份验证后的，这意味着攻击者首先需要向易受攻击的Exchange Server进行身份验证，然后才能利用这些漏洞。这可以通过利用CVE-2021-26855或拥有被盗的管理员凭据来实现。一旦通过身份验证，攻击者便可以任意写入易受攻击的服务器上的任何路径。

微软的博客说，其研究人员观察到HAFNIUM威胁参与者利用这些缺陷将Web Shell部署到目标系统上，以窃取凭据和邮箱数据。据报道，攻击者还能够获取Exchange的脱机通讯簿（OAB）。拥有此信息对于确定的威胁行为体在其目标上执行进一步的侦察活动将很有用。

检测到的入侵行为至少可以追溯到2021年1月

尽管Volexity总裁Steven Adair于3月2日进行了首次披露，但他的团队仍在致力于“自1月以来的几次入侵”，涉及这些漏洞。

Volexity博客文章包括一个视频演示，该演示演示了未经身份验证成功地渗漏了与目标用户相关联的各个电子邮件。这是通过使用XML SOAP有效负载向易受攻击的Exchange Server的Web服务API发送HTTP POST请求来实现的。

据报道，其他攻击者正在利用这些漏洞

根据ESET研究的Twitter线索，“多个网络间谍组织”（其目标不仅包括美国，而且还包括德国，法国，哈萨克斯坦等其他国家）已经积极利用了SSRF漏洞（CVE-2021- 26855）。

微软本次还解决了另外三个不相关的Exchange Server漏洞

除了四个零日漏洞，Microsoft还修补了Microsoft Exchange Server中由安全研究员Steven Seeley披露给他们的三个不相关的远程代码执行（RCE）漏洞。

概念验证PoC

在发布此博客文章时，没有针对Microsoft披露的四个零日漏洞的PoC被公布。

解决方案

Microsoft在3月2日发布了相关的Microsoft Exchange Server补丁，解决了野外利用的所有四个漏洞以及三个不相关的漏洞。

Microsoft和Volexity都在各自的博客文章中共享了针对此漏洞攻击的网络IoC情报。

103.77.192.219
104.140.114.110
104.250.191.110
108.61.246.56
149.28.14.163
157.230.221.198
167.99.168.251
185.250.151.72
192.81.208.169
203.160.69.66
211.56.98.146
5.254.43.18
80.92.205.81

在修补可行之前，企业可以采取一些缓解措施，例如限制与Exchange Server的不可信连接。但是，Tenable强烈鼓励所有在本地部署Exchange Server的企业尽快应用这些修补程序。我们预计一旦可以使用的有效PoC被公布，攻击者将开始不加选择地利用这些漏洞。

识别受影响的系统

Tenable研发团队正在开发相关漏洞检查插件，将于24-48小时之内发布，用户可以通过下列链接查询，此外用户也可通过Tenable Exchange资产识别插件，分析网内所有Exchange server资产，尽快进行修补。

https://www.tenable.com/plugins/search?q=cves%3A%28%22CVE-2021-26855%22+OR++%22CVE-2021-26857%22+OR++%22CVE-2021-26858%22+OR++%22CVE-2021-27065%22%29&sort=&page=1

获取更多信息

• HAFNIUM上的Microsoft博客文章

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

• 针对CVE-2021-26855的Volexity博客文章

https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/

• ***Microsof*有关国家背景网络攻击的博客文章

https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/

• 有关Exchange Server更新的Microsoft安全响应中心博客文章

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

转载自https://mp.weixin.qq.com/s/iW-_uD-S2y9M-wTrbUtYCg