DEVCORE率先發現微軟Exchange Server漏洞

微軟上周公布修補遭到駭客攻擊的Exchange Server漏洞,全球恐有數萬個組織受害!來自台灣的DEVCORE(戴夫寇爾)做為最早揭露此零日漏洞的團隊

微軟上周公布修補遭到駭客攻擊的Exchange Server漏洞,全球恐有數萬個組織受害!來自台灣的DEVCORE(戴夫寇爾)做為最早揭露此零日漏洞的團隊,其研究人員於1 月 5 日即通報微軟存在於Exchange Server 的安全漏洞,編號命名為「CVE-2021-26855 」及「CVE-2021-27065」(DEVCORE 團隊稱其為「ProxyLogon」)。

DEVCORE是世界級攻擊型資安公司,觀察到全球企業普遍使用微軟生態系執行日常業務,若遭受駭客攻擊,將造成用戶機敏資料外洩並導致極大損失。因此於去年 10 月開始針對世界知名的郵件伺服器 Microsoft Exchange Server 進行漏洞研究,並於 12 月取得初步成果,領先全球率先發現並通報給微軟,其安全回應中心網站也致謝發現漏洞的DEVCORE首席資安研究員暨研究組組長蔡政達(Orange Tsai)。

協防全球資安!DEVCORE率先發現並通報 Microsoft Exchange Server 存在漏洞

DEVCORE 團隊致力於研究攻擊技術及戰略,鑽研各類型攻擊手法,此次揭露的「ProxyLogon」為重大的「無需驗證的遠端程式碼執行(Pre-Auth Remote Code Execution;Pre-Auth RCE)零日漏洞(Zero-day exploit),讓攻擊者得以繞過身份驗證步驟,驅使系統管理員協助執行惡意文件或執行指令,進而觸發更廣泛的攻擊。ProxyLogon 是微軟近期被揭露最重大的 RCE 漏洞之一,DEVCORE遵循責任揭露(Responsible Disclosure)原則, 發現後於 2021年 1 月 5 日第一時間通報微軟進行相關修補,以避免該漏洞遭有心人士利用,造成全球用戶重大損失。

微軟遂於 3 月 2 日針對相關漏洞釋出安全更新並進行修補,避免用戶的機敏資訊遭受惡意攻擊。蔡政達(Orange Tsai )指出,「DEVCORE團隊在 2019 年時就已發布了許多有關遠端程式碼的研究,引發許多討論,美國國家安全局等單位更對此向企業示警,然而這些遠端程式碼仍然被全球許多惡意攻擊者所利用。此次執行 ProxyLogon 研究項目,便是希望提高企業組織的安全意識,防範因存在漏洞而遭到進階持續性滲透攻擊(APT),或是被國際駭客組織所突破。」

DEVCORE 具備高度道德及技術能量  助全球迎戰與時俱進的駭客攻擊

DEVCORE 主要提供具駭客思維的紅隊演練、滲透測試及顧問服務,實質檢測企業組織的資安防禦,進而提升其資安體質。DEVCORE研究團隊過去曾揭露 AmazonFacebookTwitterGitHubUber等國際企業的遠端程式碼執行漏洞(RCE vulnerabilities);除此之外,團隊亦曾深入研究包含EximDovecot等郵件相關解決方案,豐富的實戰經驗奠定此次領先全球揭露微軟 Exchange Server 的基礎。

DEVCORE執行長翁浩正表示,「DEVCORE由世界級白帽駭客團隊創立,擁有具備高度道德及技術能量的團隊,持續遵循責任揭露原則,發現企業的漏洞後,及時示警其盡速修補,協助全球企業與組織迎戰與時俱進的攻擊型態,抵禦不斷變化的威脅。」

漏洞影響層面

CVE-2021-26855源自於Exchange Server 2013對用戶存取服務架構上的重大改變;而​​較早版本的Exchange Server 2010已於2020年10月終止服務。因此目前所有主要的 Exchange Server 都暴露在攻擊面中,其中包含:

  • Exchange Server 2019 < 15.02.0792.010
  • Exchange Server 2019 < 15.02.0721.013
  • Exchange Server 2016 < 15.01.2106.013
  • Exchange Server 2013 < 15.00.1497.012

DEVCORE 漏洞研究及通報時程

  • 2020 年 12 月 10 日:DEVCORE 發現微軟的無需驗證的代理漏洞(CVE-2021-26855
  • 2020 年 12 月 30 日:DEVCORE 發現微軟的任意檔案寫入漏洞(CVE-2021-27065
  • 2020 年 12 月 31 日:DEVCORE 串聯相關漏洞組成一個無需驗證遠端程式碼執行漏洞
  • 2021 年 1 月 5 日:DEVCORE 向微軟安全回應中心通報漏洞
  • 2021 年 1 月 6 日:微軟安全回應中心確認知悉上述之漏洞(MSRC 案 62899及 63835)
  • 2021 年 1 月 8 日:微軟安全回應中心確認上述漏洞
  • 2021 年 3 月 3 日:微軟安全回應中心發布安全公告及修補更新
  • 2021 年 3 月 3 日:Volexity 發佈已有國際級駭客使用這些漏洞進行攻擊,DEVCORE 第一時間進行地毯式內部調查
  • 2021 年 3 月 4 日:DEVCORE 確認遭國際級駭客濫用的漏洞與通報微軟的相同
  • 2021 年 3 月 5 日:DEVCORE 內部調查至今並未發現任何問題

關於更多 ProxyLogon 的資訊請參考https://proxylogon.com/

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416