烽火狼烟丨Exchange多个高危漏洞的安全影响力评估

一、前言

2021年03月03日，WebRAY烽火台实验室监测到Microsoft官方发布了Exchange 多个高危漏洞的风险通告。漏洞编号分别为CVE-2021-26855（服务端请求伪造漏洞）、CVE-2021-26857（序列化漏洞）、CVE-2021-26858/CVE-2021-27065（任意文件写入漏洞）。WebRAY建议受影响用户及时将Exchange升级到最新版本。

二、网络基本情况（Exchange基本情况分布）

盛邦安全网络空间搜索引擎发现全球共有1563519台设备正在投入使用，具体分布情况分布见下图（颜色深浅代表数量多少，颜色越深数量越多）。

在中国境内使用Exchange邮件服务器的设备中，台湾最多，有7658台设备。其次是香港，有6540台设备使用Exchange邮件服务器，广东排第三，有5773台设备使用Exchange邮件服务器。上海有5697台设备使用Exchange邮件服务器，北京有4487台设备使用Exchange邮件服务器，江苏有3473台设备使用Exchange邮件服务器。

三、身份验证绕过漏洞

在使用单个服务器提供Exchange服务的情况下，攻击者必须知道目标用户的域安全标识符（SID）才能访问其邮箱。

在多服务器配置中，其中服务器是在数据库可用性组（DAG）中配置的，攻击者无需获取用户的域SID即可访问其邮箱。唯一需要的信息是他们希望定位的用户的电子邮件地址。

为了利用此漏洞，攻击者还必须标识内部Exchange服务器的完全限定域名（FQDN）。通过一系列请求，攻击者可能仅凭对公开访问的Exchange服务器的外部IP地址或域名的初步了解就可以提取此信息。

获取此信息后，攻击者可以生成特制的HTTP POST请求并将其发送到Exchange服务器，并将XML SOAP有效负载发送到Exchange Web服务（EWS）API端点。该SOAP请求使用特制的cookie，绕过身份验证并最终执行XML中指定的基础请求，从而使攻击者可以对用户邮箱执行任何操作。

四、漏洞影响及其修复

受影响设备

安全自查

可使用PowerShell脚本自行检查是否受到Microsoft Exchange漏洞的影响

脚本下载地址：

https://github.com/Naf576/Hafnium-Exchange-IOC/blob/

778793721639d2c03a786aac6e363de46d152d58/check.ps1

使用方法：powershell -ExecutionPolicy bypass -File .\check.ps1

修复方案

CVE编号	微软已发布相关安全更新
CVE-2021-26855	msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-26857	msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-26858	msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-27065	msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855