骇客已开始扫描由戴夫寇尔所揭露的Exchange Server ProxyShell漏洞

一名资安研究人员Kevin Beaumont上周指出，骇客已开始扫描由台湾资安业者戴夫寇尔（Devcore）所揭露、涉及微软Exchange Server的ProxyShell漏洞，其实微软已分别于今年4月及5月修补了与ProxyShell有关的3个安全漏洞，但尚未更新系统的组织应记得修补。

根据Beaumont的说法，虽然戴夫寇尔的首席研究人员蔡政达（Orange Tsai）甫于上周举行的黑帽大会上描述了ProxyShell，但他所设立的诱捕系统却发现骇客已开始扫描并企图开采尚未修补的Exchange Server。

ProxyShell实际上是由3个漏洞所串连，分别是微软于4月修补的CVE-2021-34473与CVE-2021-34523，以及5月修补的CVE-2021-31207。

其中，CVE-2021-34473为远端程式攻击漏洞，CVE-2021-34523属于权限扩张漏洞，CVE-2021-31207则是安全功能绕过漏洞，它们全都同时影响Microsoft Exchange Server 2013、Microsoft Exchange Server 2016与Microsoft Exchange Server 2019。根据微软今年7月公布的资讯，上述漏洞已被公开，但尚未被成功开采。

蔡政达在黑帽大会上指出，只要Exchange Server曝露了443连接埠，就能允许未经授权的骇客于该邮件服务器上执行任意命令。

图片来源_Orange Tsai

ProxyShell漏洞始于Exchange Server上明确登入功能的一个路径混淆臭虫，此一功能允许使用者于新的浏览器视窗中开启另一个邮件信箱或行事历，Exchange即会于内部标准化该URL，之后便可自该URL中汲取出存取令牌；再利用权限扩张漏洞把权限从系统降级为管理员，以执行任意程式；继之即能以管理员权限执行PowerShell命令，以将使用者的邮箱汇出至一个UNC路径，再把恶意酬载嵌入汇出的档案中。

其实蔡政达与戴夫寇尔团队近年来致力于研究Exchange Server的安全漏洞，主要原因是该团队认为邮件服务器是各大组织的宝贵资产，存放了各种机密文件与企业资料，骇客控制了邮件服务器等同于掌握了企业的生脉，而微软的Exchange Server身为最普及的邮件服务器，也是骇客的首要目标，估计至少有40万台Exchange Server曝露在网络上，每台邮件服务器代表一个组织，因而不难想见Exchange Server出现重大漏洞的危险性。

此外，微软从2000年开始，平均每3年就会更新一次Exchange Server，其架构也随之变更，为了确保每一代Exchange Server之间的相容性，这些介接上的问题逐渐形成新的攻击表面，而戴夫寇尔团队亦决定从Exchange Server的结构上着手来挖掘安全漏洞，使得他们接二连三地发现了该邮件服务器的零时差攻击漏洞。

这一年来戴夫寇尔团队已找到8个有关Exchange Server的安全漏洞，当中于3月修补的CVE-2021-26855与CVE-2021-27065 可串连成ProxyLogon漏洞，5月修补的CVE-2021-31195及7月修补的CVE-2021-31196则串连成ProxyOracle漏洞，除了ProxyLogon、ProxyOracle与结合3个漏洞的ProxyShell之外，该团队所发现的另一个漏洞为微软于今年7月修补的权限扩张漏洞CVE-2021-33768。

戴夫寇尔团队所发现的一系列Microsoft Exchange Server漏洞，让该团队于今年获得Pwnie Awards最佳服务器漏洞奖，而ProxyShell漏洞则替该团队在Pwn2Own 2021骇客竞赛上，赢得了20万美元的奖金。