近日,Microsoft发布了Exchange Server的紧急安全更新,修复了多个相关漏洞,并披露这些漏洞已经被在野攻击利用。Microsoft认为利用这些漏洞的幕后黑手是名为HAFNIUM的网络间谍组织。此次攻击瞄准能够从外部来源接收不受信任连接的Microsoft Exchange服务器。其功能之一是能够发起远程代码执行(RCE)攻击,允许攻击者将后门安装到网络中以供日后使用。一旦安装,即使在原始漏洞被修复之后,这些后门也可以保持活跃状态。当下,Microsoft Exchange服务器被数百万组织用于电子邮件和日历以及协作解决方案,此次漏洞危害较大。
3月2日,Microsoft为Exchange Server 2013、Exchange Server 2016和Exchange Server 2019本地版本发布了多个补丁。这些补丁旨在应对利用CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065漏洞的几种野外攻击,不会对Microsoft Exchange服务器在线服务产生任何影响。
自这些补丁发布以来,HAFNIUM加速了对这些漏洞的利用,可能希望在公司应用Microsoft补丁之前入侵尽可能多的组织。
作为MAPP(Microsoft主动保护计划)的成员,FortiGuard Labs(FortiGuard全球威胁研究与响应实验室)很快收到了有关这些漏洞的通知。3月3日,我们发布了一份威胁信号研究报告,详细介绍了此次攻击。我们还在3月3-4日发布了四个FortiGuard IPS补丁,以保护Fortinet客户免受这些漏洞利用的侵害。我们的FortiEDR和FortiXDR解决方案开箱即用,可自动保护客户免遭这些漏洞利用。
有关Microsoft Exchange服务器漏洞利用的详细威胁信息
根据Microsoft的说法,HAFNIUM是一个由国家支持的网络间谍组织,其攻击目标是美国诸多行业的实体,包括传染病研究机构、律师事务所、高等教育机构、国防承包商、政策智囊团和非政府组织。他们的主要目标是入侵有价值的网络,以便将数据泄露到MEGA等文件共享站点。但根据最新报告,这已演变为一场全球性攻击活动,其他攻击者通过对带外补丁进行逆向开发,造成了进一步破坏。
在此操作中,四个特定漏洞(Microsoft Exchange服务器远程代码执行漏洞)组成了漏洞利用链,能让攻击者入侵本地Exchange服务器。
具体细节如下
CVE-2021-26855
此远程代码执行漏洞存在于Microsoft Exchange服务器中。服务端请求伪造(SSRF)漏洞允许攻击者发送任意HTTP请求以作为Exchange服务器进行身份验证。此漏洞是攻击链的一部分,如要成功,必须获许尝试使用Exchange服务器端口443上不受信任的连接进行连接。
CVE-2021-26857
这是Microsoft Exchange服务器统一消息服务中的一个不安全反序列化漏洞。利用此漏洞,恶意攻击者能够在Exchange服务器上以最高权限(系统身份)运行代码。如要利用此漏洞,必须满足某些条件,例如拥有管理员权限或并行链接另一个漏洞。
CVE-2021-26858
利用此Microsoft Exchange服务器远程代码执行漏洞,攻击者可以执行身份验证后任意文件写入。通过服务器身份验证后,攻击者可以将文件放置到服务器上的任何位置。可通过破坏已知的Exchange管理员凭据或者通过利用CVE-2021-26855 (SSRF)执行未经授权的身份验证来链接此漏洞。
CVE-2021-27065
此远程代码执行漏洞允许恶意攻击者在易受攻击的Microsoft Exchange服务器上执行身份验证后任意文件写入。通过身份验证后,攻击者可以将文件放置到服务器上的任何位置。可通过破坏已知的Exchange管理员凭据或利用CVE-2021-26855 (SSRF)进行身份验证来链接此漏洞。
如何应对此类威胁?
最佳实践
如果您认为您的组织容易受到此攻击,我们建议采取以下措施:
Fortinet首席信息安全官Phil Quade表示,应用“热补丁”是一种安全设备更新策略,能够在您升级和修补设备时自动拦截攻击者使用窃取的签名发起的漏洞利用尝试。
进行资产清查,以确定组织中部署的所有受影响的Microsoft Exchange服务器。
运行版本检查以查看它们是否已被修补。
尽可能应用适当的补丁。对于无法修补的设备,应使用能够检测和防止此类漏洞的安全设备进行保护。
利用已知的感染信标进行高级扫描,以检测因攻击者入侵(例如使用未经授权的后门)造成的漏检对象和异常行为。
Microsoft保护
2021年3月2日,Microsoft发布了可供下载的带外补丁。它们适用于CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065漏洞。建议立即为受影响的Microsoft Exchange服务器安装所有可用补丁。
Microsoft还针对无法立即修补或更新受影响的Microsoft Exchange服务器的组织发布了替代缓解措施。
Microsoft Exchange Server 2010也可能易受攻击。但该版本不受上述Microsoft已发布的四个漏洞补丁的保护。鉴于此,Microsoft为运行Exchange 2010的组织提供了纵深防御指南。
Fortinet保护方案
作为MAPP(Microsoft主动保护计划)的成员,FortiGuard Labs团队立即收到了Microsoft的通知,自2005年以来我们一直是该计划的成员。
FortiGuard IPS
我们于2021年3月3-4日发布以下IPS签名,以检测并拦截针对在此次攻击中发现的四个漏洞发起的漏洞利用。拥有有效订阅和最新更新的所有Fortinet客户都已受到妥善保护。
MS.Exchange.Server.ProxyRequestHandler.Remote.Code.Execution
MS.Exchange.Server.UM.Core.Remote.Code.Execution
MS.Exchange.Server.CVE-2021-27065.Remote.Code.Execution
MS.Exchange.Server.CVE-2021-26858.Remote.Code.Execution
FortiEDR/FortiXDR
默认FortiEDR和FortiXDR保护会自动检测并拦截本文中描述的攻击,且无需进行其他更新。
FortiGuard全球威胁研究与响应实验室发布威胁情报
针对已知漏洞样本,FortiGuard Labs提供了以下反病毒签名覆盖:
ASP/WebShell.cl!tr
ASP/Chopper.A!tr
HTML/Agent.A121!tr
FortiGuard Web过滤服务的客户能够识别与该威胁相关的所有已知网络感染信标。
为确保组织受到充分保护,免受这些威胁,我们强烈建议他们尽快安装所有可用补丁。
FortiGuard Labs将继续跟进此问题,一旦获得与此事件相关的新信息或概念验证代码,便会立即提供其他更新。
其他保护方案
根据Microsoft的说法,最初的漏洞利用需要能够与Exchange服务器端口443建立不受信任的连接。除了限制不受信任的连接外,Fortinet客户还可以使用FortiVPN切断对Exchange服务器的外部访问。但该缓解策略仅对攻击的初始阶段(CVE-2021-26857)有效。如果攻击者已经具有访问权限,或者可以诱使管理员运行恶意文件,则仍然可以触发攻击链的其他部分。因此,如果使用此策略,仍然建议组织优先考虑立即安装所有可用的Exchange服务器补丁。
由于此漏洞利用极易造成破坏,并且可能损害日常运营,组织必须确保所有反病毒和IPS签名保持最新状态。组织建立定期的安全评估和修补程序至关重要。这可以确保及时解决和更新所有已知的厂商漏洞,从而防止攻击者在网络中建立立足点。
IT解决方案:
下一代防火墙部署场景:化繁为简、加密云接入、可视化与自动化、默认FortiEDR和FortiXDR保护会自动检测并拦截本文中描述的攻击,且无需进行其他更新
以更低的复杂性提供业内首屈一指的威胁防护和性能、网络与安全的融合、集成安全架构、多重检查引擎、统一控制管理、高级威胁防御、内置反病毒引擎、终端测的安全防护、全自动威胁检测、全自动威胁调查、全自动威胁响应
飞塔防火墙服务:应用控制、Web过滤、反病毒、FortiCloud 沙箱、入侵防御、病毒爆发防护服务、内容消除与重建、IP 信誉和反僵尸网络
品类:零信任网络访问(ZTNA)、下一代防火墙、FortiClient终端安全、FortiManager集中管理平台 、 FortiAuthenticator身份管理平台、HPC基础架构、雾计算基础架构、网络安全生态系统、集成式安全方法、入侵防御系统、网络访问控制、智能边缘、自动化安全架构、恶意设备检测、端点检测、高级威胁检测、事件分析溯源
方案适用机型:
机框设备:FortiGate 7060E 、FortiGate 7040E 、FortiGate 7030E 、FortiGate 5001E
超高端设备:FortiGate 6300F\6301F\6500F\6501F
高端设备:FortiGate 3980E、FortiGate 3960E 、FortiGate 3800D 、FortiGate 3700DFortiGate 3600E 、FortiGate 3400E、FortiGate 3200D、FortiGate 3100D 、FortiGate 3000D 、FortiGate 2500E、FortiGate 2000E、FortiGate 1500D 、FortiGate 1200D 、FortiGate 1000D
中端设备:FortiGate 900D 、FortiGate 800D 、FortiGate 600E、FortiGate 500E 、FortiGate 400E 、FortiGate 300E、FortiGate 200E 、FortiGate 100E
入门级设备:FortiGate 80E、FortiGate 60E、FortiGate 50E、FortiGate 30E 、FortiGate 60D – Rugged
Virtual Machines:FortiGate-VM00 、FortiGate-VM01, -VM01V 、FortiGate-VM02, -VM02V、FortiGate-VM04, -VM04V 、FortiGate-VM08, -VM08V 、FortiGate-VM16, -VM16V 、FortiGate-VM32, -VM32V 、FortiGate-VMUL, -VMULV
专有型号/系列:FortiOS 7.0、Fortinet SASE、FortiXDR
服务区域:
四川 飞塔 Fortinet:成都 飞塔 Fortinet、绵阳 飞塔 Fortinet、自贡 飞塔 Fortinet、攀枝花 飞塔 Fortinet、泸州 飞塔 Fortinet、德阳 飞塔 Fortinet、
广元 飞塔 Fortinet、遂宁 飞塔 Fortinet、内江飞塔 Fortinet、乐山 飞塔 Fortinet、资阳 飞塔 Fortinet、宜宾 飞塔 Fortinet、南充 飞塔 Fortinet、
达州 飞塔 Fortinet、雅安 飞塔 Fortinet、阿坝藏族羌族自治州飞塔 Fortinet、凉山彝族自治州 飞塔 Fortinet、广安 飞塔 Fortinet、巴中 飞塔 Fortinet、眉山 飞塔 Fortinet
重庆 飞塔 Fortinet
贵州飞塔 Fortinet:贵阳飞塔 Fortinet、遵义飞塔 Fortinet、铜仁飞塔 Fortinet、安顺飞塔 Fortinet、毕节飞塔 Fortinet 、六盘水飞塔 Fortinet、黔南州飞塔 Fortinet、黔西南州飞塔 Fortinet 、黔东南州飞塔 Fortinet
云南飞塔 Fortinet:昆明飞塔 Fortinet 、曲靖飞塔 Fortinet 、玉溪飞塔 Fortinet 、昭通飞塔 Fortinet 、临沧飞塔 Fortinet 、保山飞塔 Fortinet 、
丽江飞塔 Fortinet 、普洱飞塔 Fortinet、红河哈尼飞塔 Fortinet、德宏飞塔 Fortinet、楚雄飞塔 Fortinet 、文山飞塔 Fortinet 、
西双版纳飞塔 Fortinet 、怒江飞塔 Fortinet
西藏自治区飞塔 Fortinet:拉萨飞塔 Fortinet、昌都飞塔 Fortinet、林芝飞塔 Fortinet、山南飞塔 Fortinet、日喀则飞塔 Fortinet、那曲飞塔 Fortinet、阿里飞塔 Fortinet
更多机型和方案请咨询
成都科汇科技有限公司 — 专业安全服务商。
无论您的IT架构是 本地化、云端、还是混和云 都能提供一站式安全方案。
地址:四川省成都市人民南路四段一号时代数码大厦18F
电话咨询热线:400-028-1235
QQ:132 5383 361
手机:180 8195 0517(微信同号 )