Microsoft 2021 年3月2日发布的安全更新,Microsoft Exchange 服务器以解决已使用的漏洞。有关详细信息,请参阅
Microsoft 安全/Security 响应中心 。
重要说明:
- 先前由额外 .DAT 对此攻击中使用的其中一个二进制文件提供的覆盖范围现已包含在 V3 dat (ENS)和 9915 V2 DAT (VSE)中 4367 。
这些 DAT 于 2021 年 3 月 6 日发布。
- 先前由额外 .DAT 对此攻击中使用的第二个二进制文件提供的覆盖范围现已包含在 V3 dat (ENS)和 9920 V2 DAT (VSE)中 4372 。
这些 DAT 于 2021 年 3 月 11 日发布。
- 发布文章时,我们无法验证 Microsoft 发布的剩余哈希的覆盖范围。
- 使用当前 DAT 作为 Lsass-Mdump (可能有害的程序)检测到 LSASS 进程转储。
ENS:
已知恶意软件变种的覆盖范围由上述或较新的 DAT 内容提供。我们建议使用当前的生产 Dat 进行扫描。
我们还建议您在应用适用于受影响操作系统的
Microsoft 补丁 后,执行 Exchange 服务器的按需扫描(ODS)。
可将
目标 OODS 任务配置为扫描以下
位置:
- C:\Program Files\Microsoft\Exchange Server\
- C:\inetpub\
- C:\users\public\
注意: 目录可能未位于 C:\ 上驱动器在所有环境中。
已知要添加到这些位置的
文件类型如下所示:
漏洞利用防护或 HIPS 范围:
CVE-2021-26855-超出范围
CVE-2021-26857-预期将由特征码 6195
覆盖
CVE-2021-26858-正在分析(需要其他信息)
CVE-2021-27065-正在分析(需要其他信息)
NSP:
NSP IPS 特征码集 10.8.19.2 (在2021年3月09日发布)包括漏洞的覆盖范围。
攻击特征码 |
攻击 ID |
高 - HTTP: Microsoft Exchange 服务器远程代码执行漏洞 (CVE-2021-26855) |
0x4528a400 |
高 - HTTP: Microsoft Exchange 服务器远程代码执行漏洞 (CVE-2021-26857) |
0x4528a500 |
高 - HTTP: Microsoft Exchange 服务器任意文件写入漏洞 (CVE-2021-26858) |
0x4528b800 |
高 - HTTP: Microsoft Exchange 服务器任意文件写入漏洞 (CVE-2021-27065) |
0x4528b700 |
注意:本文仅供 ServicePortal 注册用户查看。
见解:
可通过搜索来找到市场活动
Exchange Servers targeted with zero-day exploits by the HAFNIUM Threat Group.
EDR:
可以按如下所述使用搜索来执行所选
IoCs 的实时搜索:
HostInfo and Files name, full_name, create_user_name, sha1, md5, sha256 where Files sha256 equals "b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0" or Files sha256 equals "097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e" or Files sha256 equals "2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1" or Files sha256 equals "65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5" or Files sha256 equals "511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1" or Files sha256 equals "4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea" or Files sha256 equals "811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d" or Files sha256 equals "1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944"