官方通报！揭秘疑似美国针对我国Exchange服务器可能的网络攻击形式

国家互联网应急中心通报的疑似美国针对我国Exchange服务器的网络攻击，可能利用了CVE-2021-26855、CVE-2021-27065、CVE-2021-26858和CVE-2021-26857漏洞，形成“ProxyLogon”攻击链。

• CVE-2021-26855：服务器端请求伪造（SSRF）漏洞

  漏洞描述：存在于Microsoft Exchange Server的客户端访问服务（CAS），攻击者可发送特制HTTP请求绕过身份验证，使服务器作为代理发起对内部或外部资源的请求。

  影响范围：

  Exchange Server 2019版本低于15.02.0792.010

  Exchange Server 2019版本低于15.02.0721.013

  Exchange Server 2016版本低于15.01.2106.013

  Exchange Server 2013版本低于15.00.1497.012

  利用过程：攻击者构造特定URL和HTTP请求头（如X-BEResource），使服务器向目标发起请求。由于服务器权限较高，可访问内部网络资源（如数据库、文件系统），甚至获取用户邮箱内容。

• CVE-2021-27065：任意文件写入漏洞

  漏洞描述：允许攻击者将文件写入服务器任意路径，通常需管理员权限，但与CVE-2021-26855结合时可未授权利用。攻击者通过修改OAB虚拟目录的外部URL，将恶意代码（如WebShell）写入Web根目录。

  影响范围：Exchange Server 2013、2016、2019。

  利用过程：攻击者先利用CVE-2021-26855获取权限，再修改OAB虚拟目录外部URL为恶意代码（如

  http://ffff/#<script
  language="JScript"runat="server">function page-Load（）{//eval(Request["code"],"unsafe");}），并指定保存路径（如127.0.0.1C$inetpubwwwrootaspnet_clientshell.aspx），从而写入WebShell。

• CVE-2021-26858：任意文件写入漏洞

  漏洞描述：与CVE-2021-27065类似，但涉及PowerShell、ECP、EWS和OWA等服务的内部/外部URL设置，攻击者通过修改这些URL注入恶意代码并写入任意路径。

  影响范围：Exchange Server 2013、2016、2019。

  利用过程：攻击者修改服务URL（如PowerShell虚拟目录外部URL），将恶意代码写入Web根目录，实现远程代码执行。

• CVE-2021-26857：不安全的反序列化漏洞

  漏洞描述：存在于统一消息服务（UM）中，攻击者发送特制请求触发逻辑错误，执行任意代码，无需事先获取权限即可远程执行。

  影响范围：Exchange Server 2010、2013、2016、2019。

  利用过程：攻击者通过SMTP命令或HTTP请求触发漏洞，以SYSTEM权限执行代码，完全控制服务器并攻击内部网络。

综合攻击流程（ProxyLogon）：

1. 初始访问：利用CVE-2021-26855绕过身份验证，获取未授权访问权限。
2. 权限提升：通过CVE-2021-27065或CVE-2021-26858修改虚拟目录URL，写入恶意代码（如WebShell）。
3. 远程执行：利用CVE-2021-26857以SYSTEM权限执行任意代码，完全控制服务器。

防御建议：

• 及时补丁：微软已发布安全更新，所有Exchange Server用户应尽快应用。
• 多因素认证：为管理员账户启用多因素认证，防止凭据泄露。
• 服务暴露限制：减少服务器对外暴露，仅开放必要端口和服务。
• 日志审查：定期监控服务器日志，发现异常活动。
• 临时缓解措施：若无法立即补丁，可使用微软提供的脚本（如EOMT.ps1、ExchangeMitigations.ps1）降低风险。
• 高级防御模块：订阅SPAM SQR增值模块的用户可开启ADM模块，防御鱼叉式攻击、0-day攻击和APT工具，拦截含漏洞的附件及Drive-by-download威胁邮件，并提供拦截统计和攻击详情分析。

总结：这四个漏洞的组合使攻击者无需合法凭证即可完全控制Exchange Server，并以此为跳板攻击内部网络。及时更新补丁和加强安全防护措施至关重要！