微軟Exchange Server再出現ProxyShell漏洞 且已有掃瞄活動
在年初的ProxyLogon後,上周Black Hat安全大會上研究人員公佈Exchange Server ProxyShell漏洞,很快地網路上就出現針對這批漏洞的掃瞄活動。研究人員相信,可能高達40萬台Exchange Server都曝險,呼籲應儘速安裝Exchange Server更新版。
ProxyShell是台灣資安業者戴夫寇爾研究人員蔡政達在上周Black Hat大會上公佈Exchange Server最新三個漏洞的總稱。
ProxyShell三個漏洞包括:
- CVE-2021-34473 – 為驗證前路徑混淆(pre-auth path confusion)導致存取控制表繞過 (ACL Bypass)(四月已修補)
- CVE-2021-34523 – PowerShell後端的權限升級(Elevation of Privilege)漏洞(四月已修補)
- CVE-2021-31207 – 驗證後任意檔案寫入導致遠端程式碼執行(五月已修補)。
ProxyShell攻擊對象之一是Exchange上的Autodiscover服務。Autodiscover服務最初是作為郵件用戶端自主組態之用。這三個漏洞的串聯讓攻擊者遠端開採跑在port 443上的IIS的Exchange Client Access Service (CAS)。PowerShell攻擊的結果,讓未經授權的攻擊者在Exchange Server系統上執行任意程式碼。戴夫寇爾四月間也因此這項發現在Pwn2Own駭客大賽中獲得20萬獎金。
上周在蔡政達示範ProxyShell漏洞後,另二名安全研究人員PeterJson和Jang則發表一篇論文,說明可以如何成功複製ProxyShell攻擊。
本周另一名安全研究人員Kevin Beaumont也指出,一名攻擊者正在掃瞄他的Microsoft Exchange Server誘捕系統,攻擊目標在Autodiscover服務。雖然早期攻擊不成功,但隨著漏洞細節釋出更多,周末攻擊者已經修改掃瞄行動,利用蔡政達公佈的Autodiscover URL,而利用這URL,攻擊者似乎也成功偵測到一個有漏洞的Exchange Server系統。
研究人員Jang指出,存取這個URL會導致ASP.NET worker process (w3wp.exe)組譯一個Web app。
既然疑似初步成功,成功的攻擊也只是遲早問題。由於攻擊者正積極掃瞄有漏洞的微軟Exchange Server,Beaumont建議管理員利用安全事件管理平台Azure Sentinel來檢查IIS log,看是否系統有/autodiscover/autodiscover.json或/mapi/nspi/字串。如果有的話,表示攻擊者已經掃過貴公司Exchange Server了。
安全廠商也強烈建議Exchange Server管理員儘速安裝微軟最新累積更新,以便能阻絕攻擊風險。Beaumont指出,目前網路上大約還有50%曝險的Exchange Server機器還未修補。蔡政達更直言,網路上40萬台Exchange Server都對ProxyShell 曝險。