Microsoft Exchange Server是美国微软（Microsoft）公司的一套电子邮件服务程序，它可以被用来构架应用于企业、学校的邮件系统或免费邮件系统。并提供邮件存取、储存、转发，语音邮件、邮件过滤筛选等功能，适合有各种协作需求的用户使用。

近日，深信服安全团队监测到微软官方发布了一则漏洞安全通告，通告披露了Exchange Server组件存在多个漏洞，漏洞编号：

CVE-2021-26855/26857/26858/27065。

CVE-2021-26855: SSRF漏洞

Exchange Server服务器端请求伪造（SSRF）漏洞，利用此漏洞的攻击者能够发送任意HTTP请求并通过Exchange Server进行身份验证。

CVE-2021-26857: 反序列化漏洞

Exchange Server反序列化漏洞，该漏洞需要管理员权限，利用此漏洞的攻击者可以在Exchange服务器上以SYSTEM身份运行代码。

CVE-2021-26858/CVE-2021-27065: 任意文件写入漏洞

Exchange Server中身份验证后的任意文件写入漏洞。攻击者通过Exchange Server服务器进行身份验证后，可以利用此漏洞将文件写入服务器上的任何路径。同时，通过配合利用CVE-2021-26855 SSRF漏洞可以绕过身份验证。

Exchange Server可以运行在几乎所有计算机平台上，由于其跨平台和安全性被广泛使用，成为最流行的邮件服务器端软件之一。全球有数千万邮件服务器采用Exchange Server，可能受漏洞影响的资产广泛分布于世界各地，中国大陆省份中，浙江、广东、山东、北京、上海等省市接近 70%，今年曝出的漏洞为高危漏洞， 需要引起用户的高度重视 。

目前受影响的Exchange Server版本：

Exchange Server 2013

Exchange Server 2016

Exchange Server 2019

首先打开Exchange Management Shell

然后再命令行中输入

Get-ExchangeServer | fl admindisplayversion

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

安全更新可用于以下特定版本的Exchange：

Exchange Server 2010（Service Pack 3的RU 31 –这是深度防御更新）

Exchange Server 2013（CU 23）

Exchange Server 2016（CU 19，CU 18）

Exchange Server 2019（CU 8，CU 7）

如果Exchange Server不在此版本上建议升级至以上版本进行安全更新。

CVE-2021-26855：

可以通过以下Exchange HttpProxy日志进行检测：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

可以通过在AuthenticatedUser为空并且AnchorMailbox包含ServerInfo〜* / *模式的日志条目中进行搜索来识别漏洞利用，也可以通过以下PowerShell命令来查找这些日志条目：

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object {  $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

如果检测到了入侵，可以通过以下目录获取攻击者采取了哪些活动

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

CVE-2021-26858：

可以通过日志文件查看相关信息

C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog

文件应仅下载到

%PROGRAMFILES%\Microsoft\Exchange Server\V15\ClientAccess\OAB\Temp目录，如果被利用，文件将下载到其他目录（UNC或本地路径），可以通过以下命令搜索可能的漏洞利用。

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”

CVE-2021-26857：

可利用以下命令检测日志条目，并检查是否受到攻击。

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

利用该漏洞将创建具有以下属性的应用程序事件：

Source: MSExchange Unified MessagingEntryType: ErrorEvent Message Contains: System.InvalidCastException

CVE-2021-27065：

通过以下powershell命令进行日志检测，并检查是否遭到攻击:

Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’

【 深信服下一代防火墙 】可轻松防御此漏洞， 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则，可轻松抵御此高危风险。

【 深信服云盾 】已第一时间从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。

【 深信服安全感知平台 】可检测利用该漏洞的攻击，实时告警，并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

【 深信服安全运营服务 】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初，云端安全专家即对客户的网络环境进行漏洞扫描，保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户，检查并更新了客户防护设备的策略，确保客户防护设备可以防御此漏洞风险。

点击 阅读原文 ，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。

深信服千里目安全实验室