研究人員發(fā)現(xiàn)微軟Exchange新漏洞

王英哲

近日，安全研究人員新發(fā)現(xiàn)了一種針對(duì)微軟Exchange服務(wù)器的概念驗(yàn)證漏洞（PoC）。該漏洞只要稍作修改后便能將Web shell安裝在ProxyLogon漏洞上，進(jìn)而影響Exchange服務(wù)器。自從微軟披露了主動(dòng)利用的Exchange安全漏洞（統(tǒng)稱ProxyLogon）以來，管理員和安全研究人員一直致力于保護(hù)暴露在互聯(lián)網(wǎng)上的脆弱服務(wù)器。

2021年3月10日，越南安全研究人員Nguyen Jang公布ProxyLogon漏洞的首個(gè)漏洞利用，PoC代碼在GitHub公開，技術(shù)分析發(fā)布在medium平臺(tái)。隨后，多名安全研究人員都確認(rèn)了該P(yáng)oC的有效性。漏洞分析師警告稱，新的PoC很可能被腳本小子利用。

據(jù)了解，ProxyLogon其實(shí)是由4個(gè)不同的Exchange Server安全漏洞組成，Nguyen Jang打造的PoC程序則是串聯(lián)了其中的CVE-2021-26855與CVE-2021-27065漏洞，雖然該P(yáng)oC程序無法直接用來攻擊，但只要稍加修改就能上陣。

“首先，我給出的PoC不能正常運(yùn)行，它會(huì)出現(xiàn)很多錯(cuò)誤，只是為了分享給讀者。”Jang對(duì)媒體表示。不過，該P(yáng)oC提供了足夠的信息，安全研究人員和攻擊者可以利用它開發(fā)一個(gè)針對(duì)微軟Exchange服務(wù)器的功能性RCE漏洞。

在PoC發(fā)布后不久，Jang收到了一封來自微軟旗下GitHub的電子郵件，稱PoC因違反可接受使用政策而被下架。GitHub表示，他們下架PoC是為了保護(hù)可能被漏洞襲擊的設(shè)備。

GitHub表示，“PoC攻擊程序的公開及傳播對(duì)安全社群而言具有教育及研究?jī)r(jià)值，而該平臺(tái)的目標(biāo)則是兼顧該價(jià)值與整個(gè)生態(tài)系統(tǒng)的安全，且其政策禁止用戶傳播正被積極開采漏洞的攻擊程序。”

新漏洞已成為腳本小子的囊中之物

CERT/CC的漏洞分析師Will Dorman在微軟Exchange服務(wù)器上測(cè)試了這個(gè)漏洞，證實(shí)它只需要稍作修改就可以生效。他警告稱，該漏洞已經(jīng)在“腳本小子”的攻擊范圍內(nèi)了。

從下圖中可以看到，Dorman對(duì)微軟Exchange服務(wù)器使用了該漏洞，遠(yuǎn)程安裝了一個(gè)Web Shell，并執(zhí)行了"whoami "命令。

Dorman分享的另一張圖片顯示，該漏洞在服務(wù)器的指定位置丟棄了test11.aspx Web shell。

NVISO高級(jí)分析師、SANS ISC高級(jí)處理員Didier Stevens也對(duì)微軟Exchange虛擬機(jī)測(cè)試了該漏洞，但在PoC上并沒有那么幸運(yùn)。

Stevens表示，他針對(duì)未打補(bǔ)丁和未更新的Exchange 2016測(cè)試了PoC程序。不過，如果不調(diào)整一些活動(dòng)目錄設(shè)置，PoC還是無法生效。然而，Stevens表示，近日來發(fā)布的PoC新信息使他能夠讓Jang公布的PoC程序工作，以實(shí)現(xiàn)對(duì)Microsoft Exchange服務(wù)器的遠(yuǎn)程代碼執(zhí)行成功。Stevens也同意Dorman的評(píng)估，新的PoC披露的信息將使腳本小子更容易創(chuàng)建一個(gè)有效的ProxyLogon漏洞。

8萬臺(tái)Exchange服務(wù)器仍存在漏洞

根據(jù)Palo Alto Networks的研究，互聯(lián)網(wǎng)上大約有8萬臺(tái)易受攻擊的Microsoft Exchange服務(wù)器暴露在互聯(lián)網(wǎng)上。

“根據(jù)2021年3月8日和11日進(jìn)行的Expanse互聯(lián)網(wǎng)掃描，運(yùn)行舊版本Exchange、無法直接應(yīng)用最近發(fā)布的安全補(bǔ)丁的服務(wù)器數(shù)量，從預(yù)計(jì)的12.5萬臺(tái)下降到8萬臺(tái)，下降了30 %以上。”微軟表示，即使易受攻擊的服務(wù)器數(shù)量大幅下降，但仍有許多服務(wù)器需要打補(bǔ)丁。“根據(jù)RiskIQ的遙測(cè)，我們?cè)?月1日看到了近40萬臺(tái)Exchange服務(wù)器存在漏洞。到3月9日，仍有10萬多臺(tái)服務(wù)器存在漏洞。這個(gè)數(shù)字一直在穩(wěn)步下降，目前只剩下大約8.2萬臺(tái)需要更新。”微軟在一篇博客中表示。

值得注意的是，這些服務(wù)器中，有很多是舊版本，沒有可用的安全更新。但在3月11日，微軟為舊版本服務(wù)器發(fā)布了額外的安全更新版本，如今可以覆蓋95 %暴露在網(wǎng)絡(luò)中的服務(wù)器。