[РЕШЕНО] Exchange 2019 взломали. 21.03.2021

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1
Ответить
[РЕШЕНО] Exchange 2019 взломали. 21.03.2021, уязвимость Exchange 2021
RDP - закрыт но на сервере полно троянов и сервер EXCHANGE взломан.
Что за новая уязвимость ? ЧЕрез что взломали сервер ? прошу помощи.
ProxyLogon - это формально общее название CVE-2021-26855, уязвимости на сервере Microsoft Exchange Server, которая позволяет злоумышленнику обойти аутентификацию и выдать себя за администратора. Мы также связали эту ошибку с другой уязвимостью CVE-2021-27065 после авторизации, связанной с записью произвольного файла, чтобы получить выполнение кода. Все затронутые компоненты по умолчанию уязвимы!

УЯЗВИМЫ ВСЕ ВЕРСИИ ЭКСЧЕНДЖ:
Exchange Server 2019 < 15.02.0792.010;
Exchange Server 2019 < 15.02.0721.013;
Exchange Server 2016 < 15.01.2106.013;
Exchange Server 2013 < 15.00.1497.012.

В результате неаутентифицированный злоумышленник может выполнять произвольные команды на Microsoft Exchange Server через только открытый порт 443!

1.скрипты PowerShell от майкрософт для решения:
https://github.com/microsoft/CSS-Exchange/tree/main/Security

PS сканер червей если вас уже взломали:
https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
ПОДРОБНОЕ ОПИСАНИЕ РЕШЕНИЕ уязвимости exchange:
1. Обновите Windows и Exchange
2. воспользоваться набором скрипотв _PowerShell от майкрософта.
3. Проверьте сервер на вреданосное ПО по ссылки которая указана выше.

Подробнее про скрипты PS:
2.1  Test-ProxyLogon.ps1  - с его помощью можно автоматизировать проверку почтового сервера на взлом. (проверяет по логам IIS)

ПРИМЕР:
.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs
Код
PS F:\> .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs
ProxyLogon Status: Exchange Server EXCHANGE
  Log age days: Oabgen 29,8 Ecp 29,7 Autod 30,0 Eas 30,0 EcpProxy 30,0 
Ews 30,0 Mapi 30,0 Oab 30,0 Owa 30,0 OwaCal 30,0
Powershell 30,0 RpcHttp 30,0
  Report exported to: C:\Users\администратор\desktop\logs\EXCHANGE-LogAgeDays.csv
[B]  [CVE-2021-26855] Suspicious activity found in Http Proxy log![/B]
  Report exported to: C:\Users\администратор\desktop\logs\EXCHANGE-Cve-2021-26855.csv

[B]  [CVE-2021-27065] Suspicious activity found in ECP logs![/B]
  Please review the following files for 'Set-*VirtualDirectory' entries (potentially malicious urls used):
   C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server\ECPServer20210318-1.LOG
   C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server\ECPServer20210328-1.LOG
  Report exported to: C:\Users\администратор\desktop\logs\EXCHANGE-Cve-2021-27065.log

В данном случае мы видим что уязвимостью воспользовались 20210328
И нужно срочно вычищать сервер - вас взломали.  Download Microsoft Safety Scanner (64-bit) (из второй ссылки предыдущий пост.)

2.2 РЕШЕНИЕ УЯЗВИМОСТИ EXCHANGE(ЗАПЛАТКА фильтрации запросов к \ owa \ecp) -
ExchangeMitigations.ps1 - скрипт который патчит IIS и делает фильтр на запросы (для его работы потребуется модуль Rewrite Module 2.0 )
Пример:
.\ExchangeMitigations.ps1 -FullPathToMSI "FullPathToMSI" -WebSiteNames "Default Web Site" -ApplyAllMitigations
Код
PS D:\>
PS D:\> .\ExchangeMitigations.ps1 -FullPathToMSI "FullPathToMSI"
 -WebSiteNames "Default Web Site" -ApplyAllMitigations
VERBOSE: [INFO] Starting mitigation process on KVS-MAIL-01
VERBOSE: [INFO] Checking for IIS URL Rewrite Module 2 on KVS-MAIL-01
VERBOSE: [INFO] IIS URL Rewrite Module 2 already installed on KVS-MAIL-01


name                   : X-AnonResource-Backend Abort - inbound
enabled                : True
patternSyntax          : ECMAScript
stopProcessing         : False
responseCacheDirective : Auto
match                  : Microsoft.IIs.PowerShell.Framework.ConfigurationElement
conditions             : Microsoft.IIs.PowerShell.Framework.ConfigurationElement
serverVariables        : Microsoft.IIs.PowerShell.Framework.ConfigurationElement
action                 : Microsoft.IIs.PowerShell.Framework.ConfigurationElement
PSPath                 : MACHINE/WEBROOT/APPHOST/Default Web Site
Location               :
ConfigurationPathType  : Location
ItemXPath              : /system.webServer/rewrite/rules/rule[@name='X-AnonResource-Backend Abort - inbound']
Attributes             : {name, enabled, patternSyntax, stopProcessing...}
ChildElements          : {match, conditions, serverVariables, action}
ElementTagName         : rule
Methods                :
Schema                 : Microsoft.IIs.PowerShell.Framework.ConfigurationElementSchema

name                   : X-BEResource Abort - inbound
enabled                : True
patternSyntax          : ECMAScript
stopProcessing         : True
responseCacheDirective : Auto
match                  : Microsoft.IIs.PowerShell.Framework.ConfigurationElement
conditions             : Microsoft.IIs.PowerShell.Framework.ConfigurationElement
serverVariables        : Microsoft.IIs.PowerShell.Framework.ConfigurationElement
action                 : Microsoft.IIs.PowerShell.Framework.ConfigurationElement
PSPath                 : MACHINE/WEBROOT/APPHOST/Default Web Site
Location               :
ConfigurationPathType  : Location
ItemXPath              : /system.webServer/rewrite/rules/rule[@name='X-BEResource Abort - inbound']
Attributes             : {name, enabled, patternSyntax, stopProcessing...}
ChildElements          : {match, conditions, serverVariables, action}
ElementTagName         : rule
Methods                :
Schema                 : Microsoft.IIs.PowerShell.Framework.ConfigurationElementSchema

Status      : Stopped
Name        : MSExchangeHM
DisplayName : Microsoft Exchange Health Manager

Status      : Stopped
Name        : MSExchangeHMRecovery
DisplayName : Microsoft Exchange Health Manager Recovery

VERBOSE: Performing the operation "Set-Item" on target "-path \\KVS-MAIL-01\AppPools\MSExchangeECPAppPool".
VERBOSE: Status of MSExchangeECPAppPool
Value : Stopped

Status      : Stopped
Name        : MSExchangeHM
DisplayName : Microsoft Exchange Health Manager

Status      : Stopped
Name        : MSExchangeHMRecovery
DisplayName : Microsoft Exchange Health Manager Recovery

VERBOSE: Performing the operation "Set-Item" on target "-path \\KVS-MAIL-01\AppPools\MSExchangeOABAppPool".
VERBOSE: Status of MSExchangeOABAppPool
Value : Stopped



2.3 .\EOMT.ps1  - общий скрипт - запустит все инструменты.
Mitigation of CVE-2021-26855 via a URL Rewrite configuration.
Mitigation does not impact Exchange functionality.
Malware scan of the Exchange Server via the Microsoft Safety Scanner
Attempt to reverse any changes made by identified threats.

Менее наглядно, но выполнит все описанные выше процедуры и проверить сервер на вреданосное по: Microsoft Safety Scanner
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
:) ;) :D 8-) :( :| :cry: :evil: :o :oops: :{} :?: :!: :idea:
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.