微軟Exchange Server再出現ProxyShell漏洞 且已有掃瞄活動

在年初的ProxyLogon後,上周Black Hat安全大會上研究人員公佈Exchange Server ProxyShell漏洞,很快地網路上就出現針對這批漏洞的掃瞄活動。

在年初的ProxyLogon後,上周Black Hat安全大會上研究人員公佈Exchange Server ProxyShell漏洞,很快地網路上就出現針對這批漏洞的掃瞄活動。研究人員相信,可能高達40萬台Exchange Server都曝險,呼籲應儘速安裝Exchange Server更新版。

ProxyShell是台灣資安業者戴夫寇爾研究人員蔡政達在上周Black Hat大會上公佈Exchange Server最新三個漏洞的總稱。

ProxyShell三個漏洞包括:

  • CVE-2021-34473 – 為驗證前路徑混淆(pre-auth path confusion)導致存取控制表繞過 (ACL Bypass)(四月已修補)
  • CVE-2021-34523 – PowerShell後端的權限升級(Elevation of Privilege)漏洞(四月已修補)
  • CVE-2021-31207 – 驗證後任意檔案寫入導致遠端程式碼執行(五月已修補)。

ProxyShell攻擊對象之一是Exchange上的Autodiscover服務。Autodiscover服務最初是作為郵件用戶端自主組態之用。這三個漏洞的串聯讓攻擊者遠端開採跑在port 443上的IIS的Exchange Client Access Service (CAS)。PowerShell攻擊的結果,讓未經授權的攻擊者在Exchange Server系統上執行任意程式碼。戴夫寇爾四月間也因此這項發現在Pwn2Own駭客大賽中獲得20萬獎金。

上周在蔡政達示範ProxyShell漏洞後,另二名安全研究人員PeterJson和Jang則發表一篇論文,說明可以如何成功複製ProxyShell攻擊。

本周另一名安全研究人員Kevin Beaumont也指出,一名攻擊者正在掃瞄他的Microsoft Exchange Server誘捕系統,攻擊目標在Autodiscover服務。雖然早期攻擊不成功,但隨著漏洞細節釋出更多,周末攻擊者已經修改掃瞄行動,利用蔡政達公佈的Autodiscover URL,而利用這URL,攻擊者似乎也成功偵測到一個有漏洞的Exchange Server系統。

研究人員Jang指出,存取這個URL會導致ASP.NET worker process (w3wp.exe)組譯一個Web app。

既然疑似初步成功,成功的攻擊也只是遲早問題。由於攻擊者正積極掃瞄有漏洞的微軟Exchange Server,Beaumont建議管理員利用安全事件管理平台Azure Sentinel來檢查IIS log,看是否系統有/autodiscover/autodiscover.json或/mapi/nspi/字串。如果有的話,表示攻擊者已經掃過貴公司Exchange Server了。

安全廠商也強烈建議Exchange Server管理員儘速安裝微軟最新累積更新,以便能阻絕攻擊風險。Beaumont指出,目前網路上大約還有50%曝險的Exchange Server機器還未修補。蔡政達更直言,網路上40萬台Exchange Server都對ProxyShell 曝險。

來源:Bleeping Computer

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416