一、漏洞简介
CVE-2021-26855是一种微软Exchange Server中的远程代码执行漏洞。由于Exchange Server中不存在恰当的验证,攻击者可以通过发送精心构造的邮件来利用此漏洞获取服务器访问权限,大规模感染Exchange Server等服务器系统。
CVE-2021-26855漏洞是一个通过远程攻击来读取系统数据的漏洞。攻击者可以向受感染的服务器发送恶意请求,以获取服务器上的敏感数据,如邮件、电子邮件、文件夹、联系人等。同时,该漏洞也可以用来实施大规模的攻击,例如在Exchange Server环境中部署Web Shell。
二、漏洞影响
此漏洞影响以下Exchange Server版本:
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
在此之前,针对Exchange Server的破坏行为多数集中在关闭电子邮件的可用性、加密存储在服务器上的数据或使用恶意文件等方法来破坏邮件系统。而这个漏洞让攻击者可以在服务器上执行任意代码,具有高危性。
三、漏洞原理
该漏洞是由于Exchange Server在处理伪造的HTTP请求时未正确验证用户输入而导致的。攻击者可以通过发送一个大量参数的HTTP请求,将恶意负载注入到Exchange Server中。
在Exchange Server中,EWS VDir(虚拟目录)的本地和远程基本输入输出系统缓存器(IIS)或OWA VDir会缓存处理EWS请求的状态。远程基本输入/输出系统(IIS)缓存器处理伪造的HTTP请求,而是让进程执行该伪造请求并返回结果。攻击者通过发起含有特殊字符串的HTTP请求,来挑战该缓存处理过程,如果字符串格式正确,则攻击者可以获得缓存器中的数据。通过这种方式可以实现任意代码执行。
四、漏洞攻击
在含有此漏洞的Exchange Server服务器中,攻击者可以使用特殊制作的HTTP请求跳过身份验证,并注入恶意有效负载到Exchange Server。以下是攻击步骤:
- 构造包含特殊Payload和Action参数的HTTP请求。
- 向发送客户端IP(knownClientApplications)中添加Exchange Server服务器IP。
- 构造Web Service URL,并附加恶意Payload和Action参数至URL中。
- 通过使用浏览器的控制台或开发人员工具发送HTTP请求。
- 通过获取服务器上可执行权限或数据泄露来损害目标系统。
以下是一个针对Exchange Server版本2013、2016、2019的漏洞攻击代码示例:
request_headers = {
"Cookie": f"SecurityToken={self.security_token}",
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv: 100.0) Gecko/20100101 Firefox/100.0",
"Content-Type": "text/xml",
"X-ClientApplication": "InvalidApp",
"X-ClientApplicationVersion": "0.0.0.0"
}
request_body = f"""
admin
"""
response = requests.post(url=self.request_url, headers=request_headers, data=request_body)
五、漏洞修复
针对此漏洞,微软官方提供了一系列的修复措施,旨在解决此漏洞。以下是可用的修复措施:
- 安装最新此问题的安全更新程序,该更新需要在发布后不久安装;
- 在Exchange Server上设置ECP / EWS / OAB / RPC CVE-2021-27065和CVE-2021-26858的IIS URL Rewrite规则;
- 禁用未使用的Web服务,并限制Exchange Server日志的大小以帮助检测可能的攻击。
在企业部署中,需要安装最新的安全更新程序以确保服务器安全,并且应定期更新该程序。
同时,在Exchange Server中应配置适当的防火墙规则和网络访问控制策略等安全措施,以确保安全。
结语
CVE-2021-26855漏洞是Exchange Server的严重漏洞,攻击者可以利用这个漏洞来获取服务器访问权限进行破坏。本文将通过细致的分析说明漏洞的原理、攻击方式、漏洞修复措施等方面,以加强各位开发工程师对此漏洞的认识,并有代码示例进行演示。
