2021年3月3日，微软公司披露Exchange系统保存多个高危害的误差，包括：CVE-2021-26855服务端请求伪造误差、CVE-2021-26857序列化误差、CVE-2021-26858和CVE-2021-27065恣意文件写入误差。

建议各用户做好系统资产清静自查以及防御事情，避免不法入侵事务的爆发。

【误差形貌】

1. CVE-2021-26855服务端请求伪造误差

无需身份验证，攻击者可对Exchange Server的提倡恣意HTTP请求，从而扫描内网并可获取Exchange用户信息。

2．CVE-2021-26857反序列化误差

在拥有Exchange 管理员权限及使用其他误差情形下，攻击者通过结构恶意请求可触发反序列化误差，对系统执行恣意代码。

3．CVE-2021-26858和CVE-2021-27065恣意文件写入误差

拥有Exchange 管理员权限或团结CVE-2021-26855误差，通过结构恶意请求，可对系统写入恣意文件。

【影响版本】

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

【修复计划】

对应的误差，微软已宣布相关清静补丁，各用户实时举行升级:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

【监测提防】

可通过如下监测要领，来判断系统是否受到对应误差的恶意攻击：

1.CVE-2021-26855通过Exchange HttpProxy日志检测：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

通过PowerShell可直接举行日志检测以及检查是否受到攻击：

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object {  $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

以下目录可审查攻击者的详细操作：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

2. CVE-2021-26857反序列化误差

使用以下下令检测日志信息，判断是否受到攻击：

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

3.CVE-2021-26858恣意文件写入误差日志

目录如下：

C:\ProgramFiles\Microsoft\ExchangeServer\V15\Logging\OABGeneratorLog

使用以下下令检测日志信息，判断是否受到攻击:

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”

4. CVE-2021-27065恣意文件写入误差

通过PowerShell下令举行日志检测:

Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Loggin

【参考资料】

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/