书接上文，在上文中已经介绍了客户端访问协议体系结构，对Exchange攻击活动中，有价值的Windows事件日志，以及如何使用这些数据来检测CVE-2020-0688的攻击行为，在本文中将介绍如何使用这些日志数据来检测CVE-2020-16875、CVE-2020-17144漏洞攻击行为。

CVE-2020-0688

在上文已经讲到如何使用IIS日志和Windows安全日志进行检测，在此基础上，也看到一些使用Windows应用日志进行检测0688漏洞利用行为。Sigma监测规则如下：

title: Monitoring CVE-2020-0688 using Windows application logs
description: windows server 2016
author: DHZN
logsource:
    product: windows
    service: Application
detection:
    selection:
        EventID: 4
        Message|contains: '__VIEWSTATE'
    condition: selection
level: medium

但是，在本人实际模拟0688漏洞攻击时，并未产生此特征记录。建议在分析时作为参考特征，辅助分析人员进行研判。

CVE-2020-16875

由于对cmdlet参数的验证不正确，Microsoft Exchange服务器中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码。利用此漏洞需要拥有以某个Exchange角色进行身份验证的用户权限。

**利用条件：利用此漏洞需要拥有以某个Exchange角色进行身份验证的用户权限。**因此在环境部署完成后需要新建一个用户“dahe”，同时也要为其开启DLP权限。

New-RoleGroup -Name "dlp users" -Roles "Data Loss Prevention" -Members "user"
Get-RoleGroup "dlp users" | Format-List

针对此漏洞的攻击将依次执行以下步骤：

• 在给定帐户下进行身份验证。

• 通过访问DLP策略管理功能获取参数。

• 添加新的恶意DLP策略，其中包含从PowerShell运行的可执行命令。

ECP的访问日志包含成功添加新DLP策略的事件：

2023-11-23 14:29:29 192.168.101.133 POST /ecp/DLPPolicy/ManagePolicyFromISV.aspx &CorrelationID=<empty>;&cafeReqId=10f1f578-5522-4d1f-83be-7aca55c74775; 443 abd.com\user 192.168.101.128 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko https://192.168.101.133/ecp/DLPPolicy/ManagePolicyFromISV.aspx 200 0 0 18

使用IIS日志监测创建新DLP策略：

title: Creating a new DLP policy using IIS log monitoring
description: windows server 2016
author: DHZN
logsource:
    product: windows
    service: IIS
detection:
    selection:
        http_method: POST
        http_code: 200
        url_path|contain: '/ecp/DLPPolicy/ManagePolicyFromISV.aspx'
    condition: selection
level: medium

想要利用该漏洞，必须创建一个新的策略，这个行为也会被记录在MSExchange管理日志中。在该事件的参数中包含恶意载荷：TemplateData。

Cmdlet suceeded. Cmdlet New-DlpPolicy, parameters -Mode "Audit" -State "Enabled" -Name "111" -TemplateData PD94bWwgdmVyc2lvbj0iMS4wIiA=[...].

使用MSExchange管理日志监测创建新DLP策略：

title: Creating a new DLP policy using powrshell log or MSExchange Management Log monitoring
description: windows server 2016
author: DHZN
logsource:
    product: windows
    service: MSExchange Management Log
detection:
    selection:
        EventID: 1
        Message|contains|all: 
              - 'New-DlpPolicy'
              - '-TemplateData'
    condition: selection
level: medium

利用此漏洞启动记事本。查看安全日志中的进程启动事件，看到该进程是由具有系统权限的父进程启动的。

使用Windows安全日志监测是否成功利用了CVE-2020-16875

title: Monitoring CVE-2020-16875 utilization behavior using Windows security logs
description: windows server 2016
author: DHZN
logsource:
    product: windows
    service: Security
detection:
    selection:
        EventID: 4688
        proc_parent_file_path|endswith: 'w3wp.exe'
        proc_file_path|contains|endswitch:
         - 'cmd.exe'
         - 'powershell.exe'
    condition: selection
level: high

CVE-2020-17144

Microsoft Exchange在处理内存中的对象时，由于Exchange对cmdlet参数的验证不正确。经过身份认证的攻击者可利用此漏洞以system用户权限在目标系统上执行任意代码。此漏洞只需要NTHash即可，利用成功后将直接进行持久化。

该漏洞和CVE-2020-0688类似，也需要登录后才能利用，不过在利用时无需明文密码，只要具备NTHash即可。除了常规邮件服务与 OWA外，EWS接口也提供了利用所需的方法。漏洞的功能点本身还具备持久化功能，但仅影响Exchange2010服务器。

在模拟测试过程中，并未观察到有效的攻击载荷信息。在IIS日志中我们可以看到存在一些链接性行为：

2023-11-22 08:25:14 10.211.55.72 POST /ews/Exchange.asmx - 443 - 10.211.55.68 ExchangeServicesClient/2.2.1.0 - 401 0 0 0
2023-11-22 08:25:14 10.211.55.72 POST /ews/Exchange.asmx - 443 AAA\user 10.211.55.68 ExchangeServicesClient/2.2.1.0 - 200 0 0 156
2023-11-22 08:25:14 10.211.55.72 POST /ews/Exchange.asmx - 443 - 10.211.55.68 ExchangeServicesClient/2.2.1.0 - 401 0 0 8
2023-11-22 08:25:14 10.211.55.72 POST /ews/Exchange.asmx - 443 AAA\user 10.211.55.68 ExchangeServicesClient/2.2.1.0 - 200 0 0 15
2023-11-22 08:25:14 10.211.55.72 POST /ews/Exchange.asmx - 443 - 10.211.55.68 ExchangeServicesClient/2.2.1.0 - 401 0 0 0
2023-11-22 08:25:14 10.211.55.72 POST /ews/Exchange.asmx - 443 AAA\user 10.211.55.68 ExchangeServicesClient/2.2.1.0 - 200 0 0 14

通过上述日志可以看到访问了"/ews/Exchange.asmx"，但这并不能作为一个有效的监测特征，实际分析过程中需要结合上下文行为进行分析，以下特征仅供参考。

title: Analyzing Exchange Vulnerability Explosions Using IIS Log Monitoring for CVE-2020-17144
description: windows server 2012
author: DHZN
logsource:
    product: windows
    service: IIS
detection:
    selection:
        http_method: POST
        url_path|contain: '/ews/Exchange.asmx'
    condition: selection
level: low

总结

本文主要对CVE-2020-0688漏洞利用监测分析特征进行了补充，以及新增了CVE-2020-16875、CVE-2020-17144漏洞利用监测分析特征。在实际研判分析过程中，通过监测特征发现攻击点，结合上下文进行分析，由点到线还原出攻击者真实攻击路径。最后，给大家拜个早年，新年快乐。

参考链接

Exchange漏洞分析系列 CVE-2020-16875

CVE-2020-16875漏洞分析与复现

CVE-2020-17144漏洞分析与武器化