CVE-2021-26855漏洞分析與代碼示例

一、漏洞簡介

CVE-2021-26855是一種微軟Exchange Server中的遠程代碼執行漏洞。由於Exchange Server中不存在恰當的驗證，攻擊者可以通過發送精心構造的郵件來利用此漏洞獲取伺服器訪問許可權，大規模感染Exchange Server等伺服器系統。

CVE-2021-26855漏洞是一個通過遠程攻擊來讀取系統數據的漏洞。攻擊者可以向受感染的伺服器發送惡意請求，以獲取伺服器上的敏感數據，如郵件、電子郵件、文件夾、聯繫人等。同時，該漏洞也可以用來實施大規模的攻擊，例如在Exchange Server環境中部署Web Shell。

二、漏洞影響

此漏洞影響以下Exchange Server版本：

• Microsoft Exchange Server 2013
• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019

在此之前，針對Exchange Server的破壞行為多數集中在關閉電子郵件的可用性、加密存儲在伺服器上的數據或使用惡意文件等方法來破壞郵件系統。而這個漏洞讓攻擊者可以在伺服器上執行任意代碼，具有高危性。

三、漏洞原理

該漏洞是由於Exchange Server在處理偽造的HTTP請求時未正確驗證用戶輸入而導致的。攻擊者可以通過發送一個大量參數的HTTP請求，將惡意負載注入到Exchange Server中。

在Exchange Server中，EWS VDir（虛擬目錄）的本地和遠程基本輸入輸出系統緩存器（IIS）或OWA VDir會緩存處理EWS請求的狀態。遠程基本輸入/輸出系統（IIS）緩存器處理偽造的HTTP請求，而是讓進程執行該偽造請求並返回結果。攻擊者通過發起含有特殊字元串的HTTP請求，來挑戰該緩存處理過程，如果字元串格式正確，則攻擊者可以獲得緩存器中的數據。通過這種方式可以實現任意代碼執行。

四、漏洞攻擊

在含有此漏洞的Exchange Server伺服器中，攻擊者可以使用特殊製作的HTTP請求跳過身份驗證，並注入惡意有效負載到Exchange Server。以下是攻擊步驟:

1. 構造包含特殊Payload和Action參數的HTTP請求。
2. 向發送客戶端IP（knownClientApplications）中添加Exchange Server伺服器IP。
3. 構造Web Service URL，並附加惡意Payload和Action參數至URL中。
4. 通過使用瀏覽器的控制台或開發人員工具發送HTTP請求。
5. 通過獲取伺服器上可執行許可權或數據泄露來損害目標系統。

以下是一個針對Exchange Server版本2013、2016、2019的漏洞攻擊代碼示例:

request_headers = {
    "Cookie": f"SecurityToken={self.security_token}",
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv: 100.0) Gecko/20100101 Firefox/100.0",
    "Content-Type": "text/xml",
    "X-ClientApplication": "InvalidApp",
    "X-ClientApplicationVersion": "0.0.0.0"
}

request_body = f"""

    
        
        
        
            
        
        
            
                admin
            
        
    
    
        
            
                
            
        
    

"""

response = requests.post(url=self.request_url, headers=request_headers, data=request_body)

五、漏洞修復

針對此漏洞，微軟官方提供了一系列的修復措施，旨在解決此漏洞。以下是可用的修復措施：

• 安裝最新此問題的安全更新程序，該更新需要在發布後不久安裝；
• 在Exchange Server上設置ECP / EWS / OAB / RPC CVE-2021-27065和CVE-2021-26858的IIS URL Rewrite規則;
• 禁用未使用的Web服務，並限制Exchange Server日誌的大小以幫助檢測可能的攻擊。

在企業部署中，需要安裝最新的安全更新程序以確保伺服器安全，並且應定期更新該程序。

同時，在Exchange Server中應配置適當的防火牆規則和網路訪問控制策略等安全措施，以確保安全。

結語

CVE-2021-26855漏洞是Exchange Server的嚴重漏洞，攻擊者可以利用這個漏洞來獲取伺服器訪問許可權進行破壞。本文將通過細緻的分析說明漏洞的原理、攻擊方式、漏洞修復措施等方面，以加強各位開發工程師對此漏洞的認識，並有代碼示例進行演示。