Microsoft Exchange攻击日志分析：CVE-2020-0688漏洞检测与防御

1. Microsoft Exchange概述

Microsoft Exchange是全球最常用的Email服务器之一，主要用于对企业网络中的Email通信进行集中管理。其在互联网上的普遍性和可访问性使其成为攻击者的首选目标之一。

1.1 客户端访问协议体系结构

Exchange邮箱服务器上的客户端访问服务负责接受所有形式的客户端连接：

客户端访问(前端)服务将这些连接代理到目标邮箱服务器上的后端服务
客户端不直接连接到后端服务
协议代理规则：客户端使用的协议决定了用于将请求代理到目标邮箱服务器上的后端服务的协议

1.2 MS Exchange使用的基本协议

协议类型	名称	作用
客户端协议	HTTP/HTTPS	客户端(包括移动客户端)用于访问邮件、日历、通讯簿等的Exchange组件的协议
客户端协议	MAPI	Outlook客户端使用的传输协议
客户端协议	RPC over HTTP	Outlook客户端和移动设备使用的备用传输协议
服务端协议	SMTP	TCP/IP网络上邮件的传输协议
服务端协议	IMAP4/POP3	用于邮件访问的应用层协议
服务端协议	LDAP	用于在分布式目录服务中查找和访问对象的协议

1.3 MS Exchange主要组成部分

Outlook Web Access(OWA): 提供Web访问方式，允许用户从浏览器访问邮件、日历、联系人等信息
Exchange Control Panel (ECP): 管理控制台，用于管理和配置Exchange Server上的邮件服务
Autodiscover: 自动发现机制，用于自动发现和配置Exchange Server上的新邮件服务器
Exchange Web Services (EWS): Web服务，提供Exchange数据的访问和交互
Exchange ActiveSync (EAS): 同步协议，用于将移动设备上的Exchange数据同步到服务器
Exchange RPC: 远程过程调用协议，用于Exchange Server间通信
Offline Address Book (OAB): 离线访问方式，用于在服务器关闭或网络中断时访问联系人数据

2. 日志和事件数据源

以下日志对于监测分析针对MS Exchange服务器的攻击行为具有重要作用：

数据源	描述	路径
Windows安全审核日志	存储审核策略中配置的所有事件(进程启动、登录等)	%SystemRoot%\System32\Winevt\Logs\Security.evtx
Windows应用程序审核日志	包含应用程序性能信息(启动错误、配置更改等)	%SystemRoot%\System32\Winevt\Logs\Application.evtx
PowerShell审核日志	记录PowerShell操作详细信息	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine
Exchange服务器管理事件	记录Exchange服务器的各种状态和行为	MSExchange Management log
IIS日志	IIS Web服务器访问日志，记录接口调用情况	%SystemDrive%\inetpub\logs\LogFiles
Sysmon日志	包含来自Sysmon的安全事件	Microsoft-Windows-Sysmon/Operational log

3. CVE-2020-0688漏洞分析

3.1 漏洞原理

该漏洞源于Microsoft Exchange服务器在安装时没有正确创建唯一密钥，导致：

所有Exchange Server在安装后的web.config文件中都拥有相同的validationKey和decryptionKey
这些密钥用于保证ViewState的安全性(ViewState是ASP.NET Web应用以序列化格式存储在客户机上的服务端数据)
攻击者获取这些静态密钥后，可以生成恶意ViewState数据，在Exchange Control Panel(ECP)上执行任意.NET代码

3.2 利用条件

要利用该漏洞需要四个参数：

validationkey = CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF(默认值)
validationalg = SHA1(默认值)
generator = B97B4E27(基本默认)
viewstateuserkey = ASP.NET_SessionId(需手工获取，每次登录不同)

3.3 攻击流程

攻击者获取有效的Exchange用户凭据(漏洞需要身份验证)
获取当前会话的ASP.NET_SessionId
使用YSoSerial.net工具生成恶意ViewState数据
构造包含恶意ViewState的HTTP请求发送到/ecp/default.aspx
服务器反序列化恶意ViewState，执行攻击者指定的代码

4. 日志分析检测方法

4.1 IIS日志分析

可疑日志示例：

2020-03-09 17:16:58 172.*.*.27 GET /ecp/default.aspx __VIEWSTATEGENERATOR=B97B4E27&__VIEWSTATE=%2FwEyhAYAAQAAAP%2F%2F%2F%2F8BAAAAAAAAAAwCAAAAXk1pY3Jvc29mdC5Qb3dlclNoZWxsLkVkaXRvciwgVmVyc2lvbj0zLjAuMC4wLCBDdWx0dXJlPW5ldXRyYWwsIFB1YmxpY0tleVRva2VuPTMxYmYzODU2YWQzNjRlMzUFAQAAAEJNaWNyb3NvZnQuVmlzdWFsU3R1ZGlvLlRleHQuRm-9ybWF0dGluZy5UZXh0Rm19cm1hdHRpbmdSdW5Qcm9wZXJ0aWVzAQAAA

分析要点：

HTTP请求方法："GET"
HTTP请求路径："/ecp/default.aspx"
请求参数中包含："__VIEWSTATEGENERATOR"和"__VIEWSTATE"
HTTP状态代码："500"(服务器错误)
可识别攻击使用的用户账户(示例中为"limou")

4.2 Windows安全日志分析

当攻击成功执行代码后，可通过以下特征检测：

事件ID：4688(进程创建)
父进程：w3wp.exe(IIS工作进程)
子进程：cmd.exe或powershell.exe(常见攻击载荷)

4.3 综合分析建议

IIS日志更适合初期检测，可快速发现攻击尝试
安全日志适合确认攻击是否成功执行
实际应用中，结合两种日志源可提高检测准确性

5. 防御建议

及时安装补丁：Microsoft已发布针对此漏洞的补丁，应尽快更新
最小权限原则：限制用户权限，减少攻击面
日志监控：
- 配置集中式日志收集和分析
- 设置针对可疑请求的告警规则
网络隔离：限制对ECP接口的访问，仅允许必要网络访问
加固配置：
- 修改默认的ViewState密钥
- 启用增强的安全配置

6. 参考资源

通过全面了解CVE-2020-0688漏洞的原理、利用方式和检测方法，安全团队可以更有效地保护Exchange服务器免受此类攻击。

Microsoft Exchange攻击日志分析：CVE-2020-0688漏洞检测与防御 1. Microsoft Exchange概述 Microsoft Exchange是全球最常用的Email服务器之一，主要用于对企业网络中的Email通信进行集中管理。其在互联网上的普遍性和可访问性使其成为攻击者的首选目标之一。 1.1 客户端访问协议体系结构 Exchange邮箱服务器上的客户端访问服务负责接受所有形式的客户端连接：客户端访问(前端)服务将这些连接代理到目标邮箱服务器上的后端服务客户端不直接连接到后端服务协议代理规则：客户端使用的协议决定了用于将请求代理到目标邮箱服务器上的后端服务的协议 1.2 MS Exchange使用的基本协议 | 协议类型 | 名称 | 作用 | |---------|------|------| | 客户端协议 | HTTP/HTTPS | 客户端(包括移动客户端)用于访问邮件、日历、通讯簿等的Exchange组件的协议 | | 客户端协议 | MAPI | Outlook客户端使用的传输协议 | | 客户端协议 | RPC over HTTP | Outlook客户端和移动设备使用的备用传输协议 | | 服务端协议 | SMTP | TCP/IP网络上邮件的传输协议 | | 服务端协议 | IMAP4/POP3 | 用于邮件访问的应用层协议 | | 服务端协议 | LDAP | 用于在分布式目录服务中查找和访问对象的协议 | 1.3 MS Exchange主要组成部分 Outlook Web Access(OWA) : 提供Web访问方式，允许用户从浏览器访问邮件、日历、联系人等信息 Exchange Control Panel (ECP) : 管理控制台，用于管理和配置Exchange Server上的邮件服务 Autodiscover : 自动发现机制，用于自动发现和配置Exchange Server上的新邮件服务器 Exchange Web Services (EWS) : Web服务，提供Exchange数据的访问和交互 Exchange ActiveSync (EAS) : 同步协议，用于将移动设备上的Exchange数据同步到服务器 Exchange RPC : 远程过程调用协议，用于Exchange Server间通信 Offline Address Book (OAB) : 离线访问方式，用于在服务器关闭或网络中断时访问联系人数据 2. 日志和事件数据源以下日志对于监测分析针对MS Exchange服务器的攻击行为具有重要作用： | 数据源 | 描述 | 路径 | |-------|------|------| | Windows安全审核日志 | 存储审核策略中配置的所有事件(进程启动、登录等) | %SystemRoot%\System32\Winevt\Logs\Security.evtx | | Windows应用程序审核日志 | 包含应用程序性能信息(启动错误、配置更改等) | %SystemRoot%\System32\Winevt\Logs\Application.evtx | | PowerShell审核日志 | 记录PowerShell操作详细信息 | %USERPROFILE%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine | | Exchange服务器管理事件 | 记录Exchange服务器的各种状态和行为 | MSExchange Management log | | IIS日志 | IIS Web服务器访问日志，记录接口调用情况 | %SystemDrive%\inetpub\logs\LogFiles | | Sysmon日志 | 包含来自Sysmon的安全事件 | Microsoft-Windows-Sysmon/Operational log | 3. CVE-2020-0688漏洞分析 3.1 漏洞原理该漏洞源于Microsoft Exchange服务器在安装时没有正确创建唯一密钥，导致：所有Exchange Server在安装后的web.config文件中都拥有相同的 validationKey 和 decryptionKey 这些密钥用于保证ViewState的安全性(ViewState是ASP.NET Web应用以序列化格式存储在客户机上的服务端数据) 攻击者获取这些静态密钥后，可以生成恶意ViewState数据，在Exchange Control Panel(ECP)上执行任意.NET代码 3.2 利用条件要利用该漏洞需要四个参数： validationkey = CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF(默认值) validationalg = SHA1(默认值) generator = B97B4E27(基本默认) viewstateuserkey = ASP.NET_ SessionId(需手工获取，每次登录不同) 3.3 攻击流程攻击者获取有效的Exchange用户凭据(漏洞需要身份验证) 获取当前会话的ASP.NET_ SessionId 使用YSoSerial.net工具生成恶意ViewState数据构造包含恶意ViewState的HTTP请求发送到/ecp/default.aspx 服务器反序列化恶意ViewState，执行攻击者指定的代码 4. 日志分析检测方法 4.1 IIS日志分析可疑日志示例：分析要点： HTTP请求方法："GET" HTTP请求路径："/ecp/default.aspx" 请求参数中包含："__ VIEWSTATEGENERATOR"和"__ VIEWSTATE" HTTP状态代码："500"(服务器错误) 可识别攻击使用的用户账户(示例中为"limou") 4.2 Windows安全日志分析当攻击成功执行代码后，可通过以下特征检测：事件ID：4688(进程创建) 父进程：w3wp.exe(IIS工作进程) 子进程：cmd.exe或powershell.exe(常见攻击载荷) 4.3 综合分析建议 IIS日志更适合初期检测，可快速发现攻击尝试安全日志适合确认攻击是否成功执行实际应用中，结合两种日志源可提高检测准确性 5. 防御建议及时安装补丁：Microsoft已发布针对此漏洞的补丁，应尽快更新最小权限原则：限制用户权限，减少攻击面日志监控：配置集中式日志收集和分析设置针对可疑请求的告警规则网络隔离：限制对ECP接口的访问，仅允许必要网络访问加固配置：修改默认的ViewState密钥启用增强的安全配置 6. 参考资源 Exchange体系结构 CVE-2020-0688漏洞修复通告 PowerShell日志记录通过全面了解CVE-2020-0688漏洞的原理、利用方式和检测方法，安全团队可以更有效地保护Exchange服务器免受此类攻击。