freeBuf
主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

MS Exchange攻击日志分析二
  • 关注
MS Exchange攻击日志分析二
2023-11-24 09:44:18

MS Exchange攻击日志分析二

书接上文,在上文中已经介绍了客户端访问协议体系结构,对Exchange攻击活动中,有价值的Windows事件日志,以及如何使用这些数据来检测CVE-2020-0688的攻击行为,在本文中将介绍如何使用这些日志数据来检测CVE-2020-16875、CVE-2020-17144漏洞攻击行为。

CVE-2020-0688

在上文已经讲到如何使用IIS日志和Windows安全日志进行检测,在此基础上,也看到一些使用Windows应用日志进行检测0688漏洞利用行为。Sigma监测规则如下:

title: Monitoring CVE-2020-0688 using Windows application logs
description: windows server 2016
author: DHZN
logsource:
    product: windows
    service: Application
detection:
    selection:
        EventID: 4
        Message|contains: '__VIEWSTATE'
    condition: selection
level: medium

但是,在本人实际模拟0688漏洞攻击时,并未产生此特征记录。建议在分析时作为参考特征,辅助分析人员进行研判。

CVE-2020-16875

由于对cmdlet参数的验证不正确,Microsoft Exchange服务器中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码。利用此漏洞需要拥有以某个Exchange角色进行身份验证的用户权限。

**利用条件:利用此漏洞需要拥有以某个Exchange角色进行身份验证的用户权限。**因此在环境部署完成后需要新建一个用户“dahe”,同时也要为其开启DLP权限。

New-RoleGroup -Name "dlp users" -Roles "Data Loss Prevention" -Members "user"
Get-RoleGroup "dlp users" | Format-List

针对此漏洞的攻击将依次执行以下步骤:

  • 在给定帐户下进行身份验证。

  • 通过访问DLP策略管理功能获取参数。

  • 添加新的恶意DLP策略,其中包含从PowerShell运行的可执行命令。

ECP的访问日志包含成功添加新DLP策略的事件:

2023-11-23 14:29:29 192.168.101.133 POST /ecp/DLPPolicy/ManagePolicyFromISV.aspx &CorrelationID=<empty>;&cafeReqId=10f1f578-5522-4d1f-83be-7aca55c74775; 443 abd.com\user 192.168.101.128 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko https://192.168.101.133/ecp/DLPPolicy/ManagePolicyFromISV.aspx 200 0 0 18

使用IIS日志监测创建新DLP策略:

title: Creating a new DLP policy using IIS log monitoring
description: windows server 2016
author: DHZN
logsource:
    product: windows
    service: IIS
detection:
    selection:
        http_method: POST
        http_code: 200
        url_path|contain: '/ecp/DLPPolicy/ManagePolicyFromISV.aspx'
    condition: selection
level: medium

想要利用该漏洞,必须创建一个新的策略,这个行为也会被记录在MSExchange管理日志中。在该事件的参数中包含恶意载荷:TemplateData。

Cmdlet suceeded. Cmdlet New-DlpPolicy, parameters -Mode "Audit" -State "Enabled" -Name "111" -TemplateData PD94bWwgdmVyc2lvbj0iMS4wIiA=[...].

使用MSExchange管理日志监测创建新DLP策略:

title: Creating a new DLP policy using powrshell log or MSExchange Management Log monitoring
description: windows server 2016
author: DHZN
logsource:
    product: windows
    service: MSExchange Management Log
detection:
    selection:
        EventID: 1
        Message|contains|all: 
              - 'New-DlpPolicy'
              - '-TemplateData'
    condition: selection
level: medium

利用此漏洞启动记事本。查看安全日志中的进程启动事件,看到该进程是由具有系统权限的父进程启动的。

image

image

使用Windows安全日志监测是否成功利用了CVE-2020-16875

title: Monitoring CVE-2020-16875 utilization behavior using Windows security logs
description: windows server 2016
author: DHZN
logsource:
    product: windows
    service: Security
detection:
    selection:
        EventID: 4688
        proc_parent_file_path|endswith: 'w3wp.exe'
        proc_file_path|contains|endswitch:
         - 'cmd.exe'
         - 'powershell.exe'
    condition: selection
level: high

CVE-2020-17144

Microsoft Exchange在处理内存中的对象时,由于Exchange对cmdlet参数的验证不正确。经过身份认证的攻击者可利用此漏洞以system用户权限在目标系统上执行任意代码。此漏洞只需要NTHash即可,利用成功后将直接进行持久化。

该漏洞和CVE-2020-0688类似,也需要登录后才能利用,不过在利用时无需明文密码,只要具备NTHash即可。除了常规邮件服务与 OWA外,EWS接口也提供了利用所需的方法。漏洞的功能点本身还具备持久化功能,但仅影响Exchange2010服务器。

在模拟测试过程中,并未观察到有效的攻击载荷信息。在IIS日志中我们可以看到存在一些链接性行为:

2023-11-22 08:25:14 10.211.55.72 POST /ews/Exchange.asmx - 443 - 10.211.55.68 ExchangeServicesClient/2.2.1.0 - 401 0 0 0
2023-11-22 08:25:14 10.211.55.72 POST /ews/Exchange.asmx - 443 AAA\user 10.211.55.68 ExchangeServicesClient/2.2.1.0 - 200 0 0 156
2023-11-22 08:25:14 10.211.55.72 POST /ews/Exchange.asmx - 443 - 10.211.55.68 ExchangeServicesClient/2.2.1.0 - 401 0 0 8
2023-11-22 08:25:14 10.211.55.72 POST /ews/Exchange.asmx - 443 AAA\user 10.211.55.68 ExchangeServicesClient/2.2.1.0 - 200 0 0 15
2023-11-22 08:25:14 10.211.55.72 POST /ews/Exchange.asmx - 443 - 10.211.55.68 ExchangeServicesClient/2.2.1.0 - 401 0 0 0
2023-11-22 08:25:14 10.211.55.72 POST /ews/Exchange.asmx - 443 AAA\user 10.211.55.68 ExchangeServicesClient/2.2.1.0 - 200 0 0 14

通过上述日志可以看到访问了"/ews/Exchange.asmx",但这并不能作为一个有效的监测特征,实际分析过程中需要结合上下文行为进行分析,以下特征仅供参考。

title: Analyzing Exchange Vulnerability Explosions Using IIS Log Monitoring for CVE-2020-17144
description: windows server 2012
author: DHZN
logsource:
    product: windows
    service: IIS
detection:
    selection:
        http_method: POST
        url_path|contain: '/ews/Exchange.asmx'
    condition: selection
level: low

总结

本文主要对CVE-2020-0688漏洞利用监测分析特征进行了补充,以及新增了CVE-2020-16875、CVE-2020-17144漏洞利用监测分析特征。在实际研判分析过程中,通过监测特征发现攻击点,结合上下文进行分析,由点到线还原出攻击者真实攻击路径。最后,给大家拜个早年,新年快乐。

参考链接

Exchange漏洞分析系列 CVE-2020-16875

CVE-2020-16875漏洞分析与复现

CVE-2020-17144漏洞分析与武器化

# web安全 # 系统安全 # 安全运营 # ATT&CK # ExchangeServer
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
CVE-2020-0688
    CVE-2020-16875
      CVE-2020-17144
        总结
          参考链接