吳明宜微軟 Exchange Server 再出現 ProxyShell 漏洞 且已有掃瞄活動
在年初的 ProxyLogon 後,上周 Black Hat 安全大會上研究人員公佈 Exchange Server ProxyShell 漏洞,很快地網路上就出現針對這批漏洞的掃瞄活動。研究人員相信,可能高達 40 萬台 Exchange Server 都曝險,呼籲應儘速安裝 Exchange Server 更新版。
ProxyShell 是台灣資安業者戴夫寇爾研究人員蔡政達在上周 Black Hat 大會上公佈 Exchange Server 最新三個漏洞的總稱。
ProxyShell 三個漏洞包括:
- CVE-2021-34473 – 為驗證前路徑混淆 (pre-auth path confusion) 導致存取控制表繞過 (ACL Bypass)(四月已修補)
- CVE-2021-34523 – PowerShell 後端的權限升級 (Elevation of Privilege) 漏洞(四月已修補)
- CVE-2021-31207 – 驗證後任意檔案寫入導致遠端程式碼執行(五月已修補)。
ProxyShell 攻擊對象之一是 Exchange 上的 Autodiscover 服務。Autodiscover 服務最初是作為郵件用戶端自主組態之用。這三個漏洞的串聯讓攻擊者遠端開採跑在 port 443 上的 IIS 的 Exchange Client Access Service (CAS)。PowerShell 攻擊的結果,讓未經授權的攻擊者在 Exchange Server 系統上執行任意程式碼。戴夫寇爾四月間也因此這項發現在 Pwn2Own 駭客大賽中獲得 20 萬獎金。
上周在蔡政達示範 ProxyShell 漏洞後,另二名安全研究人員 PeterJson 和 Jang 則發表一篇論文,說明可以如何成功複製 ProxyShell 攻擊。
本周另一名安全研究人員 Kevin Beaumont 也指出,一名攻擊者正在掃瞄他的 Microsoft Exchange Server 誘捕系統,攻擊目標在 Autodiscover 服務。雖然早期攻擊不成功,但隨著漏洞細節釋出更多,周末攻擊者已經修改掃瞄行動,利用蔡政達公佈的 Autodiscover URL,而利用這 URL,攻擊者似乎也成功偵測到一個有漏洞的 Exchange Server 系統。
研究人員 Jang 指出,存取這個 URL 會導致 ASP.NET worker process (w3wp.exe) 組譯一個 Web app。
既然疑似初步成功,成功的攻擊也只是遲早問題。由於攻擊者正積極掃瞄有漏洞的微軟 Exchange Server,Beaumont 建議管理員利用安全事件管理平台 Azure Sentinel 來檢查 IIS log,看是否系統有/autodiscover/autodiscover.json 或/mapi/nspi/字串。如果有的話,表示攻擊者已經掃過貴公司 Exchange Server 了。
安全廠商也強烈建議 Exchange Server 管理員儘速安裝微軟最新累積更新,以便能阻絕攻擊風險。Beaumont 指出,目前網路上大約還有 50% 曝險的 Exchange Server 機器還未修補。蔡政達更直言,網路上 40 萬台 Exchange Server 都對 ProxyShell 曝險。