駭客開始利用 ProxyShell 漏洞 鎖定 Exchange Server 進行攻擊

美國網路安全暨基礎架構安全管理署 (CISA) 本周警告，一群駭客正在積極攻擊微軟 Exchange Server 中的 ProxyShell 漏洞。

ProxyShell 是本月初由台灣廠商戴夫寇爾研究人員蔡政達在 Black Hat 大會上揭露的 3 個漏洞的總稱。安全廠商 Huntress 已經觀察到試圖開採 ProxyShell 漏洞植入後門程式的活動。但本周研究人員發現攻擊有激增現象，超過 1900 個未修補的 Exchange Server 被植入了 140 個 webshell。受害者包含大樓建商、海產加工業者、工業機製造商、汽車維修商與小型機場等等。

有鑒於受害企業的產業類型，CISA 因而立即發出安全公告，呼籲企業小心及修補 Exchange Server 漏洞。

Huntress 研究人員 John Hammond 偕同安全專家 Kevin Beumont 與 Rich Warren 發現，攻擊者除了安裝 webshell 外，還利用 ProxyShell 植入勒索軟體 LockFile。

Huntress 團隊分析了一個被感染的系統，以了解攻擊手法。Exchange Server 的網際網路服務組態檔遭到變更，加入了「虛擬目錄」可將一個 URL 端點導向檔案系統上另一個目的地。這可讓攻擊者 webshell 藏在 ASP 目錄監控的地區之外，不見得是在公開 Web 目錄中。如果研究人員不知道要找這個，攻擊者就能成功潛伏在受害系統而不被發現。此外，被隱藏的 webshell 也使用過去未曾見過的 XML/XLS 轉換手法。

事實上，在 8 月初美國 SANS「網路風暴中心」研究人員 Jan Kopriva 做了一次 Shodan 掃瞄，估計有超過 3 萬台 Exchange Server 未修補。

研究人員 Kevin Beaumont 則對微軟對 ProxyShell 漏洞公佈及呼籲修補重要性不力感到不滿。Beumont 批評微軟忽略修補程式的重要性，只把它列入標準的 Exchange 修補程序。三月間 Exchange Server 的 ProxyLogon 修補太慢，造成全球用戶極大威脅，但 ProxyShell 的 RCE 漏洞風險程度有過之而無不及。

而且，他 4 月就通報微軟，但微軟卻到 7 月才發佈 CVE 追蹤，Beaumont 指出，這讓企業客戶忽略了，這其實是今年以來最重大的安全漏洞之一。

Beaumont 表示目前已和 Shodan 合作開發一個外掛來辨識有 ProxyShell 漏洞的 Exchange Server。他並批評，微軟忙著宣傳別家公司產品如 Netgear 的漏洞，卻完全忽略自己的問題。

ProxyShell 三個漏洞包括：CVE-2021-34473，可導致存取控制表繞過 (ACL Bypass)（四月已修補）；CVE-2021-34523，為 PowerShell 後端的權限升級漏洞（四月已修補）；以及 CVE-2021-31207 ，可導致遠端程式碼執行（五月已修補）。

CISA 在最新安全公告呼籲企業找出網路上的未修補系統，並立即安裝修補這三個 ProxyShell 漏洞的微軟五月安全更新，以防止攻擊。

來源：ThreatPost