Vertigo
11.03.2021, 02:44
https://forum.antichat.xyz/attachments/4902985/img_af283a560a.png
Приветствую Друзей и Уважаемых Форумчан.
Немного поговорим о нашумевшей уязвимости CVE-2021-26855
С чего всё началось
В начале января текущего года были атакованы тысячи серверов Microsoft Exchange.
В настоящее время количество уязвимых серверов превысило количество 50 тысяч.
Под подозрение в эксплуатации данной уязвимости попала группировка HAFNIUM.
CVE-2021-26855 позволяет подделать запрос на стороне сервера и обойти аутентификацию.
Кроме рассматриваемой SSRF были обнаружены и другие уязвимости,которые эксплуатируются совместно:
CVE-2021-27065 - Arbitrary File Write -запись файла в произвольном каталоге.
CVE-2021-26858 -аналогична предыдущей
CVE-2021-26854 - RCE - выполнение произвольного кода на сервере.
CVE-2021-26857 – Insecure Deserialization-выполнение кода от SYSTEM
CVE-2021-26412 – RCE-выполнение произвольных кодов
CVE-2021-27078 — RCE - аналогично
Для успешной эксплуатации достаточно открытого доступа к серверу Exchange по TCP порту 443.
Несмотря на вышедшие патчи от компании Microsoft,уязвимые сервера легко можно найти.
И конечно путь до вебки сервера.
https://forum.antichat.xyz/attachments/4902985/img_4e950cb22b.png
Мне удобно было проверить сервера скриптом от Udyz из Въетнама.
Код:
# git clone https://github.com/Udyz/CVE-2021-26855.git
# cd CVE-2021-26855/
# chmod +x CVE-2021-26855.py
# python3 CVE-2021-26855.py url_цели
Скрипт выполняет атаку Brute Force EMail Exchange Server,заодно определяет подверженность уязвимости.
https://forum.antichat.xyz/attachments/4902985/img_b706fd5f2c.png
Если цель не подвержена уязвимости,то вывод скрипта будет примерно таким,но следующая цель снова уязвима.
https://forum.antichat.xyz/attachments/4902985/img_6c418c3673.png
файл users.txt , используемый скриптом,ограничен дефолтным списком,но его можно значительно самостоятельно дополнить.
https://forum.antichat.xyz/attachments/4902985/img_27e383a961.png
Немного иначе выглядит атака с использованием утилиты Curl
https://forum.antichat.xyz/attachments/4902985/img_6ad02481e6.png
Для неё payloads были написаны специалистом Red Team alt3kx из Франции здесь
При необходимости нужно задействовать Burpsuite
https://forum.antichat.xyz/attachments/4902985/img_da92218f74.png
Для проверки на уязвимость рекомендуется использовать скрипты для powershell здесь
Защита
Патчи от компании Microsoft для всех версий серверов Exchange находятсятут
Обнаружить атаки можно исследованием журналов %PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ Logging \
Также смотрим логи на предмет атак CVE-2021-26858 C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog
Если логи находятся только здесь: % PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ ClientAccess \ OAB \ Temp,
то с сервером всё в порядке, т.к. при эксплуатации уязвимости, файлы грузятся в иные каталоги.
Эксплуатация CVE-2021-27065 обнаруживается в логах C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server
В этом случае есть команда в PowerShell для поиска эксплуатации:
Код:
Select-String -Path "$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log" -Pattern 'Set-.+VirtualDirectory'
Для обнаружения эксплуатации CVE-2021-26857 в Powershell задаём:
Код:
Get-EventLog -LogName Application -Source "MSExchange Unified Messaging" -EntryType Error | Where-Object { $_.Message -like "*System.InvalidCastException*" }
В журнале событий приложений Windows при этом будет такое: System.InvalidCastException
Кроме этого рекомендуется отказаться от прямой публикации Exchange-сервера в сети,а использовать VPN при доступе к почте.
Использование Ideco UTM не ниже 8-ой версии также выделяется особо в плане безопасности.
Всех благодарю за внимание,здоровья вам,вашим устройствам и до новых встреч.
Приветствую Друзей и Уважаемых Форумчан.
Немного поговорим о нашумевшей уязвимости CVE-2021-26855
С чего всё началось
В начале января текущего года были атакованы тысячи серверов Microsoft Exchange.
В настоящее время количество уязвимых серверов превысило количество 50 тысяч.
Под подозрение в эксплуатации данной уязвимости попала группировка HAFNIUM.
CVE-2021-26855 позволяет подделать запрос на стороне сервера и обойти аутентификацию.
Кроме рассматриваемой SSRF были обнаружены и другие уязвимости,которые эксплуатируются совместно:
CVE-2021-27065 - Arbitrary File Write -запись файла в произвольном каталоге.
CVE-2021-26858 -аналогична предыдущей
CVE-2021-26854 - RCE - выполнение произвольного кода на сервере.
CVE-2021-26857 – Insecure Deserialization-выполнение кода от SYSTEM
CVE-2021-26412 – RCE-выполнение произвольных кодов
CVE-2021-27078 — RCE - аналогично
Для успешной эксплуатации достаточно открытого доступа к серверу Exchange по TCP порту 443.
Несмотря на вышедшие патчи от компании Microsoft,уязвимые сервера легко можно найти.
И конечно путь до вебки сервера.
https://forum.antichat.xyz/attachments/4902985/img_4e950cb22b.png
Мне удобно было проверить сервера скриптом от Udyz из Въетнама.
Код:
# git clone https://github.com/Udyz/CVE-2021-26855.git
# cd CVE-2021-26855/
# chmod +x CVE-2021-26855.py
# python3 CVE-2021-26855.py url_цели
Скрипт выполняет атаку Brute Force EMail Exchange Server,заодно определяет подверженность уязвимости.
https://forum.antichat.xyz/attachments/4902985/img_b706fd5f2c.png
Если цель не подвержена уязвимости,то вывод скрипта будет примерно таким,но следующая цель снова уязвима.
https://forum.antichat.xyz/attachments/4902985/img_6c418c3673.png
файл users.txt , используемый скриптом,ограничен дефолтным списком,но его можно значительно самостоятельно дополнить.
https://forum.antichat.xyz/attachments/4902985/img_27e383a961.png
Немного иначе выглядит атака с использованием утилиты Curl
https://forum.antichat.xyz/attachments/4902985/img_6ad02481e6.png
Для неё payloads были написаны специалистом Red Team alt3kx из Франции здесь
При необходимости нужно задействовать Burpsuite
https://forum.antichat.xyz/attachments/4902985/img_da92218f74.png
Для проверки на уязвимость рекомендуется использовать скрипты для powershell здесь
Защита
Патчи от компании Microsoft для всех версий серверов Exchange находятсятут
Обнаружить атаки можно исследованием журналов %PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ Logging \
Также смотрим логи на предмет атак CVE-2021-26858 C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog
Если логи находятся только здесь: % PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ ClientAccess \ OAB \ Temp,
то с сервером всё в порядке, т.к. при эксплуатации уязвимости, файлы грузятся в иные каталоги.
Эксплуатация CVE-2021-27065 обнаруживается в логах C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server
В этом случае есть команда в PowerShell для поиска эксплуатации:
Код:
Select-String -Path "$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log" -Pattern 'Set-.+VirtualDirectory'
Для обнаружения эксплуатации CVE-2021-26857 в Powershell задаём:
Код:
Get-EventLog -LogName Application -Source "MSExchange Unified Messaging" -EntryType Error | Where-Object { $_.Message -like "*System.InvalidCastException*" }
В журнале событий приложений Windows при этом будет такое: System.InvalidCastException
Кроме этого рекомендуется отказаться от прямой публикации Exchange-сервера в сети,а использовать VPN при доступе к почте.
Использование Ideco UTM не ниже 8-ой версии также выделяется особо в плане безопасности.
Всех благодарю за внимание,здоровья вам,вашим устройствам и до новых встреч.