Статья Уязвимость CVE-2021-26855

Приветствую Друзей и Уважаемых Форумчан.
Немного поговорим о нашумевшей уязвимости CVE-2021-26855

С чего всё началось
В начале января текущего года были атакованы тысячи серверов Microsoft Exchange.
В настоящее время количество уязвимых серверов превысило количество 50 тысяч.
Под подозрение в эксплуатации данной уязвимости попала группировка HAFNIUM.
CVE-2021-26855 позволяет подделать запрос на стороне сервера и обойти аутентификацию.

Кроме рассматриваемой SSRF были обнаружены и другие уязвимости,которые эксплуатируются совместно:
CVE-2021-27065 - Arbitrary File Write -запись файла в произвольном каталоге.
CVE-2021-26858 -аналогична предыдущей
CVE-2021-26854 - RCE - выполнение произвольного кода на сервере.
CVE-2021-26857 – Insecure Deserialization-выполнение кода от SYSTEM
CVE-2021-26412 – RCE-выполнение произвольных кодов
CVE-2021-27078 — RCE - аналогично

Для успешной эксплуатации достаточно открытого доступа к серверу Exchange по TCP порту 443.
Несмотря на вышедшие патчи от компании Microsoft,уязвимые сервера легко можно найти.
И конечно путь до вебки сервера.

Мне удобно было проверить сервера скриптом от Udyz из Въетнама.

# git clone https://github.com/Udyz/CVE-2021-26855.git
# cd CVE-2021-26855/
# chmod +x CVE-2021-26855.py
# python3 CVE-2021-26855.py url_цели

Скрипт выполняет атаку Brute Force EMail Exchange Server,заодно определяет подверженность уязвимости.

Если цель не подвержена уязвимости,то вывод скрипта будет примерно таким,но следующая цель снова уязвима.

файл users.txt , используемый скриптом,ограничен дефолтным списком,но его можно значительно самостоятельно дополнить.

Немного иначе выглядит атака с использованием утилиты Curl

Для неё payloads были написаны специалистом Red Team alt3kx из Франции здесь

При необходимости нужно задействовать Burpsuite

Для проверки на уязвимость рекомендуется использовать скрипты для powershell здесь

Защита
Патчи от компании Microsoft для всех версий серверов Exchange находятся

Ссылка скрыта от гостей

Обнаружить атаки можно исследованием журналов %PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ Logging \

Также смотрим логи на предмет атак CVE-2021-26858 C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog
Если логи находятся только здесь: % PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ ClientAccess \ OAB \ Temp,
то с сервером всё в порядке, т.к. при эксплуатации уязвимости, файлы грузятся в иные каталоги.

Эксплуатация CVE-2021-27065 обнаруживается в логах C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server
В этом случае есть команда в PowerShell для поиска эксплуатации:

Select-String -Path "$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log" -Pattern 'Set-.+VirtualDirectory'

Для обнаружения эксплуатации CVE-2021-26857 в Powershell задаём:

Get-EventLog -LogName Application -Source "MSExchange Unified Messaging" -EntryType Error | Where-Object { $_.Message -like "*System.InvalidCastException*" }

В журнале событий приложений Windows при этом будет такое: System.InvalidCastException

Кроме этого рекомендуется отказаться от прямой публикации Exchange-сервера в сети,а использовать VPN при доступе к почте.
Использование Ideco UTM не ниже 8-ой версии также выделяется особо в плане безопасности.

Всех благодарю за внимание,здоровья вам,вашим устройствам и до новых встреч.

 

[dieZel]

Шикарно. Единственное, что хотелось бы дополнить, так это способ проверки на взлом. Microsoft выпустила тулзу, которая проверяет сервер на предмет взлома/уязвимости.

CSS-Exchange/Security at main · microsoft/CSS-Exchange

Exchange Server support tools and scripts. Contribute to microsoft/CSS-Exchange development by creating an account on GitHub.

github.com

 

[surgut085]

Четыре самых опасных уязвимости, которые уже вовсю эксплуатируют злоумышленники, позволяют им провернуть трехступенчатую атаку. Сначала они получают доступ к серверу Exchange, затем создают веб-шелл для удаленного доступа к серверу, а затем используют его для кражи данных из сети организации. Вот эти уязвимости:

• уязвимость CVE-2021-26855 может быть использована для подделки запросов со стороны сервера (server-side request forgery) что позволяет обойти аутентификацию на сервере Exchange и, как следствие, ведет к удаленному запуску произвольного кода;
• CVE-2021-26857 позволяет злоумышленникам выполнить произвольный код от имени системы (для ее использования требуются либо права администратора, либо эксплуатация предыдущей уязвимости;
• CVE-2021-26858и CVE-2021-27065 используются для записи файла по любому пути на сервере.

Злоумышленники используют эти четыре уязвимости в связке. Впрочем, если судить по данным Microsoft, иногда они пользуются похищенными учетными данными и аутентифицируются на сервере без применения уязвимости CVE-2021-26855.

Патч, который закрывает все эти уязвимости, устраняет и еще несколько более мелких дыр в Exchange, не имеющих прямого отношения к активным целевым атакам (по крайней мере насколько нам это известно).

Кто в группе риска?​

Облачная версия Exchange не подвержена данным уязвимостям, они представляют опасность только для развертываемых внутри инфраструктуры серверов. Изначально Microsoft выпустила патчи для Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019, а также в рамках стратегии Defense in Depth было опубликовано обновление для Microsoft Exchange Server 2010. Впрочем, из-за массовой эксплуатации через некоторое время были закрыты и уязвимости в более старых версиях Exchange.

По мнению исследователей из Microsoft, за атаками с использованием этих уязвимостей стоят хакеры из группировки Hafnium. В сферу их интересов входят американские индустриальные компании, исследователи инфекционных заболеваний, юридические фирмы, некоммерческие организации и политические аналитики. Их цель — похищение конфиденциальной информации. Точное количество жертв не известно, однако, по данным источников KrebsOnSecurity, как минимум 30 000 организаций в США, включая малый бизнес и городские администрации, были атакованы при помощи этих уязвимостей. По данным наших экспертов, цели злоумышленников находятся не только в Америке – они атакуют серверы Exchange по всему миру. Более подробную информацию по географии атак можно найти в публикации на сайте Securelist.

​