借助Palo Alto Networks的预防措施

早在3月2日，安全社区就发现了四个关键的零日Microsoft Exchange Server漏洞（CVE-2021-26855，CVE-2021-26857，CVE-2021-26858和CVE-2021-27065）。

这些漏洞让攻击者可以访问Exchange Server，并可能获得对受害者环境的长期访问权。据估计，全球有成千上万的组织可能受到这些漏洞的威胁，而且非常重要的是，在安全补丁可用之前，这些漏洞已经被利用了至少两个月。因此，即使你立即打了补丁，你的Exchange Server仍然可能受到攻击。此外，根据从Palo Alto Networks Expanse平台收集的遥测数据，研究人员估计世界上还有超过125000个未打补丁的Exchange Server。

你可以在下面找到一个简明的手册，企业可以遵循该手册来应对其环境中的这种潜在威胁。

1.找到所有Exchange Server，然后确定是否需要打补丁。

Exchange Online不受影响。

易受攻击的Exchange Server版本包括2013年、2016年和2019年。虽然Exchange 2010不容易受到与Exchange 2013/2016/2019相同的攻击链，但微软已经发布了针对该软件版本的CVE-2021-26857补丁。微软最近发布了针对不支持的旧版本Exchange的其他指南。

微软建议在所有Exchange Server上安装更新，优先安装那些面向externally/internet的服务器。即使Exchange Server不面向internet，如果已经通过其他方法访问了网络，漏洞仍然可以被利用。

目前Microsoft已经发布了关于以下特定版本的Exchange Server更新的信息：

Exchange Server 2019：更新需要累积更新(CU) 8或CU 7。

Exchange Server 2016：升级需要cu19或cu18。

Exchange Server 2013：更新需要cu23。

Exchange Server 2010：更新需要sp3或任何sp3 RU ,这是深度防御更新。

2.为所有Exchange Server打补丁并保护其安全。

为你的Exchange Server版本安装带外安全更新。

如果你不能立即更新或给Exchange Server打补丁，有一些缓解措施和变通方案可以降低攻击者利用Exchange Server的机会，不过这些缓解措施应该只是暂时的，直到补丁完成。Palo Alto Networks更新为威胁防护内容包8380或更高版本的下一代防火墙(ngfw)，如果对Exchange Server的入站流量启用SSL解密，就可以防止这些漏洞。在你的Exchange Server上运行的Cortex XDR将检测并阻止在这些攻击中常用的webshell活动。

初始攻击需要具有与Exchange Server端口443的不受信任的连接的能力，你可以通过限制不受信任的用户对系统的访问来防止这种情况。这可以通过只允许已经通过VPN进行身份验证的用户访问系统来实现，或者通过使用防火墙限制对特定主机或IP范围的访问。使用这种缓解只会保护攻击的初始部分。如果攻击者已经能够访问网络，或者能够说服管理员打开恶意文件，那么攻击链的其他部分仍然可以被触发。

关于使用Palo Alto Networks产品的更多信息，包括带有安全订阅功能的防火墙、用于自动化的Cortex XSOAR和用于终端保护的Cortex XDR。

3.确定Exchange Server是否已经被泄漏。

这些漏洞已经在野外出现并被利用了一个多月，最早的利用迹象可以追溯到1月3日。任何运行易受攻击软件的组织必须评估其服务器是否已被泄漏。给系统打补丁不会删除任何已经部署在系统上的恶意软件。明智的做法是，假定向internet公开Outlook Web访问或Exchange Web服务的Exchange Server已受到损害，除非有证据证明并非如此。

检查可疑的进程和系统行为，特别是在Internet信息服务(IIS)和交换应用程序进程的环境中，如PowerShell、命令壳(cmd.exe)和应用程序的地址空间中执行的其他程序。在“寻找最近针对Microsoft Exchange的攻击”中，我们描述了如何使用Palo Alto Networks Cortex XDR Pro终端保护来在你的环境中寻找这种攻击。

目前微软已经发布了PowerShell和Nmap脚本，用于检查Exchange Server是否存在这些漏洞。他们还发布了另一个脚本，该脚本位于同一链接上，该脚本突出显示了Exchange Server虚拟目录中的文件与特定Exchange版本所期望的文件之间的差异。网络安全和基础架构安全局（CISA）还发布了策略、技术和程序（TTP）的列表。

如unit42威胁评估行动过程表所述，最初进行交换攻击的攻击者所使用的攻击后TTP包括以下内容:

使用Procdump转储LSASS进程内存；

使用7-Zip将窃取的数据压缩成ZIP文件以便进行渗透；

添加和使用Exchange PowerShell管理单元来导出邮箱数据；

使用Nishang Invoke-PowerShellTcpOneLine反向shell；

从GitHub下载PowerCat，然后使用它打开与远程服务器的连接。

从最初的攻击开始，我们相信其他攻击者正在试图利用Exchange漏洞，但他们的动机和目标可能有很大的不同，他们的TTP也可能不同。

4.如果你认为你已经受到了威胁，请与事件反应小组进行联系。

无论何时，如果你认为你的Exchange Server已经受到攻击，你仍然应该采取措施使其免受上述漏洞的攻击。这将防止更多的攻击者进一步攻击系统，为你的Exchange Server版本安装带外安全更新非常重要，但这不会删除系统中已经安装的任何恶意软件，也不会删除网络中存在的任何威胁。

由于所描述的正在进行的活动、用于实施攻击的漏洞以及可能是攻击背后的组织者，这种情况的潜在影响是至关重要的。虽然利用这些漏洞可能不会影响正常业务管理，但访问敏感信息和系统当然是可能发生的，并且访问公司电子邮件也可能导致后续的网络钓鱼攻击。

借助趋势科技的预防措施

3月2日发布的补丁包含近100个补丁，几乎是上个月总数的两倍。该列表包括已经发布的针对Microsoft Exchange Server零日漏洞的补丁，这些漏洞是由Hafnium 攻击引起的。

在发布的89个补丁中，14个被评为关键，而其余的则被认为是重要的。除了信息泄漏漏洞外，大多数关键漏洞都涉及远程代码执行(remote code execution, RCE)链接。其中15个是由 Zero Day Initiative (ZDI)报告的。

以下是微软报告中分享的这些漏洞的细节:

CVE-2021-26855(严重)：服务器端请求伪造(SSRF)漏洞，允许攻击者向域发送HTTP请求，并验证为Exchange Server。

CVE-2021-26857(严重)：Exchange统一消息服务中的不安全反序列化漏洞，不受信任的数据会被程序反序列化，允许攻击者运行任意代码。此漏洞只能在管理员权限或其他漏洞下运行。

CVE-2021-27065(严重)：认证后任意文件写入漏洞，允许攻击者将文件写入服务器上的任何路径。可以通过滥用CVE-2021-26855或合法的管理员凭证进行认证。

CVE-2021-26858(重要)：认证后任意文件写入漏洞，允许攻击者将文件写入服务器上的任何路径，可以通过滥用CVE-2021-26855或合法的管理员凭证进行认证。

通过这些漏洞发起初始攻击需要通过Exchange Server端口443构建一个不受信任的连接;因此，对于那些还不能打补丁的人，部分缓解措施包括限制不受信任的访问所述端口。然而，缓解措施并不能提供完全的保护，并且仍然强烈建议使用补丁。

该漏洞会影响Exchange Server 2013、Exchange Server 2016和Exchange Server 2019。微软还发布了适用于一些较老的和不支持的累积更新的安全更新。

针对其他Microsoft Server Exchange RCE漏洞(CVE-2021-26412、CVE-2021-26854和CVE-2021-27078)的补丁也已经发布。

Internet Explorer的漏洞

同时修复CVE-2021-26411 (Internet Explorer内存破坏漏洞)，为了利用这个漏洞，攻击者可以使用一个特别制作的HTML文件。他们可以托管一个网站，或利用被破坏的网站或以用户提供内容为特色的网站。然后，他们通常会通过电子邮件或即时消息吸引用户访问网站。此漏洞影响Internet Explorer和Microsoft Edge。

Windows DNS服务器，HVEC视频扩展的漏洞

7个DNS服务器漏洞的修复也被披漏，其中包括5个RCE漏洞(CVE-2021-26897、CVE-2021-26877、CVE-2021-26893、CVE-2021-26894、CVE-2021-26895)和2个拒绝服务漏洞(CVE-2021-26896、CVE-2021-27063)。前者允许任意代码的部署，而后者则使系统无法响应。

最近，人们对各种DNS漏洞提出了一些担忧。本月初，一个针对CVE-2020-1350的概念验证(PoC)漏洞被发布，这是一个关键的可蠕虫SIGRed Windows DNS服务器远程代码执行(RCE)漏洞，该漏洞在系统代码中存在了17年以上。另一方面，Windows DNS服务器远程代码执行漏洞CVE-2021-24078上个月得到了修补。

其他值得注意的漏洞是在高效视频编码(HEVC)视频扩展中发现的漏洞，在修补的10个漏洞中，其中3个(CVE-2021-24089, CVE-2021-26902和CVE-2021-27061)被评为关键，7个被认为重要。

趋势科技的缓解措施

一种主动的、多层的安全方法是对付利用漏洞的威胁的关键——来自网关、终端、网络和服务器。趋势科技深度安全解决方案提供网络安全、系统安全、恶意软件防范功能。与漏洞保护相结合，它可以保护用户系统免受各种即将到来的可能以漏洞为目标的威胁。这两种解决方案都通过以下规则保护用户免受针对这些漏洞的攻击：

39101: HTTP: Microsoft Exchange Server端请求伪造漏洞(CVE-2021-26855)；

39213: DNS: Microsoft Windows DNS Integer溢出漏洞(CVE-2021-26877)；

39214: HTTP: Microsoft Internet Explorer内存破坏漏洞(CVE-2021-26411)；

39218: DNS: Microsoft Windows Server DNS缓冲区溢出漏洞(CVE-2021-26897)；

39219: HTTP: Microsoft SharePoint不安全反序列化漏洞(CVE-2021-27076)；

39221: DNS: Long Dynamic SigRR Update (CVE-2021-26897)。

本文翻译自：https://unit42.paloaltonetworks.com/remediation-steps-for-the-microsoft-exchange-server-vulnerabilities/ https://www.trendmicro.com/en_us/research/21/c/march-patch-tuesday-fixes-for-exchange-server--ie.html如若转载，请注明原文地址：