Приветствую Друзей и Уважаемых Форумчан.
Немного поговорим о нашумевшей уязвимости CVE-2021-26855
С чего всё началось
В начале января текущего года были атакованы тысячи серверов Microsoft Exchange.
В настоящее время количество уязвимых серверов превысило количество 50 тысяч.
Под подозрение в эксплуатации данной уязвимости попала группировка HAFNIUM.
CVE-2021-26855 позволяет подделать запрос на стороне сервера и обойти аутентификацию.
Кроме рассматриваемой SSRF были обнаружены и другие уязвимости,которые эксплуатируются совместно:
CVE-2021-27065 - Arbitrary File Write -запись файла в произвольном каталоге.
CVE-2021-26858 -аналогична предыдущей
CVE-2021-26854 - RCE - выполнение произвольного кода на сервере.
CVE-2021-26857 – Insecure Deserialization-выполнение кода от SYSTEM
CVE-2021-26412 – RCE-выполнение произвольных кодов
CVE-2021-27078 — RCE - аналогично
Для успешной эксплуатации достаточно открытого доступа к серверу Exchange по TCP порту 443.
Несмотря на вышедшие патчи от компании Microsoft,уязвимые сервера легко можно найти.
И конечно путь до вебки сервера.
Мне удобно было проверить сервера скриптом от Udyz из Въетнама.
Код:
Код:
# git clone https://github.com/Udyz/CVE-2021-26855.git
# cd CVE-2021-26855/
# chmod +x CVE-2021-26855.py
# python3 CVE-2021-26855.py url_цели
Скрипт выполняет атаку Brute Force EMail Exchange Server,заодно определяет подверженность уязвимости.
Если цель не подвержена уязвимости,то вывод скрипта будет примерно таким,но следующая цель снова уязвима.
файл users.txt , используемый скриптом,ограничен дефолтным списком,но его можно значительно самостоятельно дополнить.
Немного иначе выглядит атака с использованием утилиты Curl
Для неё payloads были написаны специалистом Red Team alt3kx из Франции здесь
При необходимости нужно задействовать Burpsuite
Для проверки на уязвимость рекомендуется использовать скрипты для powershell здесь
Защита
Патчи от компании Microsoft для всех версий серверов Exchange находятся
тут
Обнаружить атаки можно исследованием журналов %PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ Logging \
Также смотрим логи на предмет атак CVE-2021-26858 C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog
Если логи находятся только здесь: % PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ ClientAccess \ OAB \ Temp,
то с сервером всё в порядке, т.к. при эксплуатации уязвимости, файлы грузятся в иные каталоги.
Эксплуатация CVE-2021-27065 обнаруживается в логах C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server
В этом случае есть команда в PowerShell для поиска эксплуатации:
Код:
Код:
Select-String -Path "$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log" -Pattern 'Set-.+VirtualDirectory'
Для обнаружения эксплуатации CVE-2021-26857 в Powershell задаём:
Код:
Код:
Get-EventLog -LogName Application -Source "MSExchange Unified Messaging" -EntryType Error | Where-Object { $_.Message -like "*System.InvalidCastException*" }
В журнале событий приложений Windows при этом будет такое: System.InvalidCastException
Кроме этого рекомендуется отказаться от прямой публикации Exchange-сервера в сети,а использовать VPN при доступе к почте.
Использование Ideco UTM не ниже 8-ой версии также выделяется особо в плане безопасности.
Всех благодарю за внимание,здоровья вам,вашим устройствам и до новых встреч.
Древовидный вид