怎么實現Exchange SSRF漏洞CVE-2021-26855的分析

# 怎么實現Exchange SSRF漏洞CVE-2021-26855的分析

## 引言

2021年3月，微軟發布了針對Exchange Server的多個高危漏洞補丁，其中CVE-2021-26855是一個影響廣泛的SSRF（Server-Side Request Forgery）漏洞。該漏洞允許攻擊者在未授權的情況下發送任意HTTP請求，進而通過鏈式利用實現遠程代碼執行。本文將深入分析該漏洞的技術原理、利用方式及防御措施。

---

## 一、漏洞背景

### 1.1 Exchange Server簡介
Microsoft Exchange Server是企業級郵件和協作平臺，提供電子郵件、日歷、聯系人管理等服務。其架構包含前端服務（如Client Access Service）和后端數據庫，通過HTTP/HTTPS協議與客戶端通信。

### 1.2 漏洞基本信息
- **CVE編號**：CVE-2021-26855  
- **漏洞類型**：SSRF  
- **影響版本**：Exchange Server 2013/2016/2019  
- **CVSS評分**：9.1（Critical）  
- **利用前提**：暴露Exchange OWA（Outlook Web Access）服務

---

## 二、漏洞原理分析

### 2.1 漏洞觸發點
漏洞位于Exchange的`FrontEndHttpProxy`組件中，該組件負責將客戶端請求代理到后端服務。問題出在對`X-Forwarded-For`和`X-BEResource`等HTTP頭的處理邏輯上：

```http
POST /owa/auth/Current/themes/resources HTTP/1.1
Host: exchange-victim.com
X-BEResource: backend-server/autodiscover/autodiscover.xml?a=~1942062522

2.2 關鍵代碼邏輯

當請求到達前端服務時： 1. 解析X-BEResource頭中的后端服務器地址 2. 未正確驗證URL合法性，導致可指向任意內部地址 3. 構造代理請求時未檢查目標是否屬于Exchange服務

2.3 SSRF實現機制

攻擊者通過偽造X-BEResource頭，可使Exchange服務器向內部其他服務（如127.0.0.1）發送請求： - 訪問/autodiscover/autodiscover.xml端點 - 利用NTLM認證中繼攻擊后端服務 - 結合其他漏洞（如CVE-2021-27065）實現RCE

三、漏洞復現過程

3.1 環境搭建

• 靶機：Exchange Server 2019 CU8
• 工具：Burp Suite、Nmap、PowerShell

3.2 復現步驟

1. 探測漏洞存在性

   curl -vk "https://exchange-victim.com/owa/auth/Current/themes/resources" \
   -H "X-BEResource: localhost/autodiscover/autodiscover.xml?a=~1942062522"
   

   觀察響應中是否包含autodiscover服務的返回內容。

2. 利用SSRF訪問內部服務

   GET /ecp/default.flt HTTP/1.1
   Host: exchange-victim.com
   X-BEResource: 127.0.0.1/ews/exchange.asmx
   

3. 鏈式利用示例（需結合其他漏洞）

   • 通過SSRF獲取NTLM憑據
   • 利用PowerShell導出郵箱數據

四、漏洞利用鏈分析

4.1 典型攻擊場景

1. 攻擊者發送惡意SSRF請求
2. Exchange代理請求到內部Autodiscover服務
3. 觸發NTLM認證泄露
4. 通過中繼攻擊接管服務器

4.2 實際攻擊案例

2021年3月，多個APT組織利用該漏洞鏈： - 部署Web Shell（如ChinaChopper） - 竊取企業郵箱數據 - 橫向移動至域控制器

五、防御方案

5.1 官方補丁

立即安裝微軟官方更新： - KB5000871（Exchange 2013） - KB5000878（Exchange 2016） - KB5000879（Exchange 2019）

5.2 臨時緩解措施

1. 禁用Autodiscover服務

   
   Set-AutodiscoverVirtualDirectory -Identity "SERVER\Autodiscover*" -BasicAuthentication $false
   

2. 配置URL重寫規則攔截惡意請求

   
   <rule name="Block X-BEResource Exploit">
    <match url=".*" />
    <conditions>
      <add input="{HTTP_X_BERESOURCE}" pattern=".+" />
    </conditions>
    <action type="AbortRequest" />
   </rule>
   

5.3 長期防護建議

• 啟用Windows Defender ATP實時防護
• 限制Exchange服務器出站連接
• 定期進行滲透測試

六、技術深度探討

6.1 漏洞根源分析

根本原因是Exchange的代理設計缺陷： - 過度信任HTTP頭 - 缺乏服務邊界檢查 - 未實現請求簽名驗證

6.2 與其他SSRF漏洞的對比

七、總結

CVE-2021-26855暴露了企業郵件系統的重大安全隱患，其利用鏈展示了SSRF漏洞如何從信息泄露升級為RCE。管理員應及時修補漏洞，同時加強網絡邊界防護。對于安全研究人員，該案例也提供了分析復雜漏洞鏈的經典樣本。

參考資料

1. Microsoft Security Advisory (2021)
2. CERT/CC Vulnerability Analysis Report
3. 第三方安全廠商技術白皮書

”`

注：本文為技術分析文檔，僅限合法安全研究使用。實際漏洞利用可能違反法律，請遵守當地法規。