微軟今日宣稱已檢測到多個針對Microsoft Exchange Server的0day攻擊，攻擊Exchange Server的本地部署伺服器。根據對攻擊分析，攻擊者利用系列的漏洞（CVE-2021-26855，CVE-2021-26857，CVE-2021-26858和CVE-2021-27065）入侵了本地Exchange Server，可以訪問電子郵件帳戶，並安裝其他惡意軟體以促進對受害者環境的長期訪問。微軟威脅情報中心（MSTIC），確認攻擊者為HAFNIUM組織，但是攻擊來源均為美國雲資源。

這些漏洞包括CVE-2021-26855，CVE-2021-26857，CVE-2021-26858和CVE-2021-27065，微軟安全響應中心（MSRC）Exchange Server釋出針對這些漏洞的多個安全更新。建議本地例項的客戶立即更新，Microsoft Exchange線上不受影響。

HAFNIUM組織

HAFNIUM主要針對美國多個行業的實體，包括傳染病研究人員，律師事務所，高等教育機構，國防檔案館，政策智囊團和非政府組織。

HAFNIUM此前透過利用面向Internet的伺服器中的擴充套件來獲利，並使用合法的開源框架（例如Covenant）進行命令和控制。一旦獲得了受害網路的訪問權，HAFNIUM通常會將資料滲漏到MEGA之類的檔案共享站點。

在與這些非法無關的活動中，微軟觀察到HAFNIUM與受害Office 365租戶進行了互動。儘管他沒有成功破壞客戶賬戶，但這種偵察活動可幫助對手識別有關其目標環境的更多詳細資訊。

HAFNIUM主要透過美國的租賃虛擬專用伺服器（VPS）進行運營。

技術細節

Microsoft提供了以下詳細資訊，以幫助瞭解HAFNIUM利用這些漏洞利用的技術，並能夠更有效地防禦將來對未打補丁的系統的任何攻擊。

CVE-2021-26855:

Exchange中的一個伺服器端請求偽造（SSRF）漏洞，利用該漏洞攻擊者能夠傳送任意HTTP請求並透過Exchange Server進行身份驗證。

CVE-2021-26857:

統一訊息服務中的不安全的反序列化漏洞。不安全的反序列化是不可信的使用者可控制資料被程式反序列化的地方。利用該漏洞，攻擊者可以在Exchange伺服器上以SYSTEM身份執行程式碼。這需要管理員許可權或要利用的另一個漏洞。

CVE-2021-26858：

Exchange中身份驗證後的任意檔案寫入漏洞。利用該漏洞，攻擊者可以透過Exchange伺服器進行身份驗證，可以使用此漏洞將檔案寫入伺服器上的任何路徑。可以透過利用CVE-2021-26855 SSRF漏洞或透過破壞合法管理員的憑據來進行身份驗證。

CVE-2021-27065

Exchange中身份驗證後的任意檔案寫入漏洞。如果通過了Exchange伺服器進行身份驗證，攻擊者利用該漏洞可以將檔案寫入伺服器上的任何路徑。可以透過利用CVE-2021-26855 SSRF漏洞或透過破壞合法管理員的憑據來進行身份驗證。

攻擊細節

利用這些漏洞獲得初始訪問許可權後，HAFNIUM攻擊者在受感染的伺服器上部署了Web Shell。Web Shell可能使攻擊者能夠竊取資料並執行其他惡意操作，從而導致進一步的危害。下面是用ASP編寫並部署的Web Shell的一個示例：

部署Web Shell後，HAFNIUM攻擊者執行了以下開發後活動：

使用Procdump轉儲LSASS程序記憶體：

使用7-Zip將竊取的資料壓縮到ZIP檔案中以進行滲透：

新增並使用Exchange PowerShell管理單元匯出郵箱資料：

使用Nishang

從GitHub下載PowerCat，然後使用它開啟與遠端伺服器的連線：

HAFNIUM運營商還能夠從受感染的系統中下載Exchange離線通訊簿，其中包含有關組織及其使用者的資訊。

攻擊檢查

Microsoft Exchange Server團隊已釋出有關這些新安全更新的部落格文章，並提供了一個指令碼，可快速檢查本地Exchange伺服器的補丁程式級別狀態，並回答有關安裝這些補丁程式的一些基本問題。

掃描Exchange日誌檔案攻擊痕跡

可以透過以下Exchange HttpProxy日誌檢測CVE-2021-26855利用：

這些日誌位於以下目錄中：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

可以透過在AuthenticatedUser為空並且AnchorMailbox包含ServerInfo~*/*的日誌條目中進行搜尋來識別漏洞利用

以下PowerShell命令來查詢這些日誌條目的示例：

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy” -Filter ‘*.log’).FullName | Where-Object { $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

如果檢測到異常活動，可以使用AnchorMailbox路徑中指定的特定於應用程式的日誌來幫助確定採取了哪些操作。這些日誌位於:

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging

可以透過Exchange日誌檔案檢測CVE-2021-26858利用：

日檔案：

C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog

檔案應下載在以下目錄：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\ClientAccess\OAB\Temp

如果被利用，檔案會被下載到其他目錄（UNC或本地路徑）

Windows命令搜尋潛在的利用：

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log”

可以透過Windows應用程式事件日誌檢測CVE-2021-26857反序列化利用,並建立具有以下屬性的應用程式事件：

Source: MSExchange Unified MessagingEntryType: ErrorEvent Message Contains: System.InvalidCastException

以下PowerShell命令，用於在應用程式事件日誌中查詢這些日誌條目：

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

可以透過以下Exchange日誌檔案檢測CVE-2021-27065利用：

日誌檔案：

C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server

所有Set- <AppName> VirtualDirectory屬性都不應包含指令碼。InternalUrl和ExternalUrl應該僅是有效Uris。

下面的PowerShell命令搜尋潛在的利用：

Select-String -Path “$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log” -Pattern ‘Set-.+VirtualDirectory’

攻擊特徵

Webshell雜湊

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

路徑

Web Shell部署的路徑包括：

C:\inetpub\wwwroot\aspnet_client\C:\inetpub\wwwroot\aspnet_client\system_web

在Microsoft Exchange Server的安裝路徑中，例如：

%PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\C:\Exchange\FrontEnd\HttpProxy\owa\auth\

檢測到的Web Shell具有以下檔名：

web.aspxhelp.aspxdocument.aspxerrorEE.aspxerrorEEE.aspxerrorEW.aspxerrorFF.aspxhealthcheck.aspxaspnet_www.aspxaspnet_client.aspxxx.aspxshell.aspxaspnet_iisstart.aspxone.aspx

還在C:\ProgramData\中檢查到可疑的.zip，.rar和.7z檔案，這可能表明可能有資料洩漏。

客戶應監視以下路徑的LSASS dumps：

C:\windows\temp\C:\root\

工具

ProcdumpNishangPowerCat

Microsoft Defender防病毒檢測

請注意，其中某些檢測是常規檢測:

Exploit:Script/Exmann.A!dhaBehavior:Win32/Exmann.ABackdoor:ASP/SecChecker.ABackdoor:JS/Webshell (not unique)Trojan:JS/Chopper!dha (not unique)Behavior:Win32/DumpLsass.A!attk (not unique)Backdoor:HTML/TwoFaceVar.B (not unique)Microsoft Defender Endpoint檢測Suspicious Exchange UM process creationSuspicious Exchange UM file creationPossible web shell installation (not unique)Process memory dump (not unique)