CVE-2021-26855 использован. Исправлен и работает MSERT. Что еще я могу сделать?

Question

CVE-2021-26855 использован. Исправлен и работает MSERT. Что еще я могу сделать?

Я выполняю проверку эксплойтов сервера Exchange, рекомендованную Microsoft, здесь: [Центр реагирования безопасности MS — Центр ресурсов по уязвимостям сервера OnPremise Exchange — обновлено 16 марта 2021 г.]2 сценария безопасности

Я установил последние исправления, а затем запустил проверку эксплойтов.EOMT.ps1иTest-ProxyLogon.ps1.

Сканирование файлов журнала Exchange для IOC вернулось сSuspicious activity found in Http Proxy log!с такими вещами AnchorMailbox (фактическое имя сервера заменено на THISSERVER для анонимности):

      AnchorMailbox       : ServerInfo~a]@THISSERVERAppS.THISSERVER.local:444/autodiscover/autodiscover.xml?#
AnchorMailbox       : ServerInfo~a]@THISSERVERAPPS/autodiscover/autodiscover.xml#
AnchorMailbox       : ServerInfo~localhost/owa/auth/logon.aspx?
AnchorMailbox       : ServerInfo~8gmqsf.dnslog.cn/owa/auth/logon.aspx?
AnchorMailbox       : ServerInfo~THISSERVERAPPS/EWS/Exchange.asmx?a=
AnchorMailbox       : ServerInfo~THISSERVERAppS.THISSERVER.local/EWS/Exchange.asmx?a=
AnchorMailbox       : ServerInfo~THISSERVERAPPS/autodiscover/autodiscover.xml?a=
AnchorMailbox       : ServerInfo~Administrator@THISSERVERAPPS:444/mapi/emsmdb?MailboxId=f26bc937-b7b3-4402-b890-96c4671
AnchorMailbox       : ServerInfo~Administrator@THISSERVERAPPS:444/ecp/proxyLogon.ecp?a=
AnchorMailbox       : ServerInfo~Admin@THISSERVERAPPS:444/mapi/emsmdb?MailboxId=e21c6801-85e9-4f90-98ca-df928510591a@mo
AnchorMailbox       : ServerInfo~Admin@THISSERVERAPPS:444/ecp/proxyLogon.ecp?a=
AnchorMailbox       : ServerInfo~Admin@THISSERVERAPPS:444/ecp/about.aspx?a=
AnchorMailbox       : ServerInfo~Admin@THISSERVERAPPS:444/ecp/DDI/DDIService.svc/GetObject?schema=OABVirtualDirectory&m
AnchorMailbox       : ServerInfo~localhost/ecp/default.flt?
AnchorMailbox       : ServerInfo~8gmqsf.dnslog.cn/ecp/default.flt?
AnchorMailbox       : ServerInfo~somethingnonexistent/ecp/default.flt?

и хитро выглядящие записи UserAgent, такие какMozilla heheсреди других.

Я не вижу URL-адреса в виртуальных каталогах, обнаруженных при сканировании:

      /ecp/default.flt
/ecp/temp.js
/ecp/xxx.js
/ecp/s36y.js
/ecp/ssrf.js
/ecp/043l.js
/ecp/hk9o.js
/owa/auth/x.js

Прямо сейчас я использую последнюю версию MSERT (1.333.600.0). Начал около 35 минут назад, но выполнено только 25%. На данный момент найден 1 зараженный файл. Я надеюсь, что это может прояснить ситуацию. Не знаете, что еще я могу сделать на этом этапе?

1

exploit exchange-2019

Источник

cb2791 17 мар '21 в 03:16

1 ответ

Другие вопросы по тегам exploit exchange-2019

Esa Jokinen 17 мар '21 в 09:18 2021-03-17 09:18 · Answer 1 · 2021-03-17 09:18

К сожалению, сейчас уже немного поздно исправлять, поскольку эти уязвимости эксплуатируются с января 2021 года и массово эксплуатируются с 3 марта 2021 года (по данным ESET WeLiveSecurity & Bleeping Computer).

На этом этапе вы, вероятно, были бы скомпрометированы, даже если бы такие инструменты, как MSERT, ничего не нашли, например, первоначально установленные веб-оболочки могли быть удалены на следующем этапе атаки. Поэтому вам, возможно, придется сосредоточиться на некоторых дополнительных вещах, таких как:

Обнаружение свидетельств бокового движения и удаление, возможно, приобретенного упорства .
Установка чистых серверов Exchange и перенос данных на них.
Рассматривать все данные в почтовых ящиках как потенциально утекшие.

Общие советы можно найти в нашем каноническом вопросе: Как мне поступить со скомпрометированным сервером?