CVE-2021-26855 已被利用。已修补并正在运行 MSERT。我还能做什么?

CVE-2021-26855 已被利用。已修补并正在运行 MSERT。我还能做什么?

我正在此处运行 Microsoft 推荐的 Exchange 服务器漏洞检查:[MS 安全响应中心 - OnPremise Exchange Server 漏洞资源中心 - 2021 年 3 月 16 日更新]2 安全脚本

我安装了最新的补丁,然后运行了漏洞检查EOMT.ps1Test-ProxyLogon.ps1

对 IOC 的 Exchange 日志文件扫描返回了Suspicious activity found in Http Proxy log!类似这样的 AnchorMailbox 内容(为保持匿名,实际服务器名称已替换为 THISSERVER):

AnchorMailbox       : ServerInfo~a]@THISSERVERAppS.THISSERVER.local:444/autodiscover/autodiscover.xml?#
AnchorMailbox       : ServerInfo~a]@THISSERVERAPPS/autodiscover/autodiscover.xml#
AnchorMailbox       : ServerInfo~localhost/owa/auth/logon.aspx?
AnchorMailbox       : ServerInfo~8gmqsf.dnslog.cn/owa/auth/logon.aspx?
AnchorMailbox       : ServerInfo~THISSERVERAPPS/EWS/Exchange.asmx?a=
AnchorMailbox       : ServerInfo~THISSERVERAppS.THISSERVER.local/EWS/Exchange.asmx?a=
AnchorMailbox       : ServerInfo~THISSERVERAPPS/autodiscover/autodiscover.xml?a=
AnchorMailbox       : ServerInfo~Administrator@THISSERVERAPPS:444/mapi/emsmdb?MailboxId=f26bc937-b7b3-4402-b890-96c4671
AnchorMailbox       : ServerInfo~Administrator@THISSERVERAPPS:444/ecp/proxyLogon.ecp?a=
AnchorMailbox       : ServerInfo~Admin@THISSERVERAPPS:444/mapi/emsmdb?MailboxId=e21c6801-85e9-4f90-98ca-df928510591a@mo
AnchorMailbox       : ServerInfo~Admin@THISSERVERAPPS:444/ecp/proxyLogon.ecp?a=
AnchorMailbox       : ServerInfo~Admin@THISSERVERAPPS:444/ecp/about.aspx?a=
AnchorMailbox       : ServerInfo~Admin@THISSERVERAPPS:444/ecp/DDI/DDIService.svc/GetObject?schema=OABVirtualDirectory&m
AnchorMailbox       : ServerInfo~localhost/ecp/default.flt?
AnchorMailbox       : ServerInfo~8gmqsf.dnslog.cn/ecp/default.flt?
AnchorMailbox       : ServerInfo~somethingnonexistent/ecp/default.flt?

Mozilla hehe和其它看起来不可靠的 UserAgent 条目一样。

我看不到扫描报告的虚拟目录中的 URL 词干:

/ecp/default.flt
/ecp/temp.js
/ecp/xxx.js
/ecp/s36y.js
/ecp/ssrf.js
/ecp/043l.js
/ecp/hk9o.js
/owa/auth/x.js

我现在正在运行最新的 MSERT (1.333.600.0)。大约 35 分钟前开始,现在只完成了 25%。到目前为止,它发现了 1 个受感染的文件。我希望它能解决问题。不确定我在这个阶段还能做什么?

答案1

不幸的是,现在修补已经有点晚了,因为这些漏洞自 2021 年 1 月起就已被利用,并于 2021 年 3 月 3 日起被大规模利用(根据ESET WeLive安全&哔哔电脑)。

此时,即使 MSERT 等工具没有发现任何内容,你也可能已经被感染了,例如最初安装的网络外壳可能在攻击的下一阶段被删除。因此,您可能需要关注一些其他事项,例如:

  • 寻找证据横向移动并去除可能获得的持久性
  • 安装干净的 Exchange 服务器并将数据迁移到这些服务器。
  • 将邮箱中的所有数据视为可能泄露。

在我们的典型问题中可以找到一般提示:我该如何处理受到感染的服务器?

相关内容