CVE-2021-26855 Объяснение
я пропатчил 3/3
Похоже, нас прощупали и не скомпрометировали. Может кто-нибудь подтвердить? Я не уверен, как это интерпретировать.
Запустил Test-Hafnium.ps1
Содержимое CVE-2021-26855.log
#TYPE Selected.System.Management.Automation.PSCustomObject
"DateTime","AnchorMailbox"
"2021-03-02T09:50:56.279Z","ServerInfo~a]@Exchange001.contoso.com:444/autodiscover/autodiscover.xml?#"
изменить: сканирование обнаружило следующую запись
2021-03-02T09:50:56.279Z,5f083d36-1b8a-489b-9bdc-e3859dea08f4,15,1,2106,2,,Ecp,207.207.49.16,/ecp/y.js,,FBA,false,,,ServerInfo~a]@Exchange001.contoso.com:444/autodiscover/autodiscover.xml?#,ExchangeServicesClient/0.0.0.0,157.230.221.198,EXCHANGE001,200,200,,POST,Proxy,exchange001.contoso.com,15.00.0001.000,IntraForest,X-BEResource-Cookie,,,,347,362,,,0,0,,0,,0,,0,0,,0,295,0,0,17,0,274,0,0,0,1,0,294,1,274,4,21,21,295,,,,BeginRequest=2021-03-02T09:50:55.983Z;CorrelationID=<empty>;ProxyState-Run=None;FEAuth=BEVersion-1941962753;NewConnection=::1&0;BeginGetRequestStream=2021-03-02T09:50:55.983Z;OnRequestStreamReady=2021-03-02T09:50:55.998Z;BeginGetResponse=2021-03-02T09:50:55.998Z;OnResponseReady=2021-03-02T09:50:56.279Z;EndGetResponse=2021-03-02T09:50:56.279Z;ProxyState-Complete=ProxyResponseData;SharedCacheGuard=0;EndRequest=2021-03-02T09:50:56.279Z;,,,,,,CafeV1
В следующем файле
"\\exchange001.contoso.com\C$\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp\HttpProxy_2021030209-1.LOG"
Я не нашел записей для [email protected] ни в одном из файлов журналов.
1 ответ
Вам следует просмотреть журналы, прикрепленные к доступной службе — в данном случае журналы автообнаружения в каталоге %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging.
Более подробную информацию о том, что следует ожидать от атаки, можно найти здесь:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
В разделе «Подробности атаки».