研究人員發現微軟Exchange新漏洞

王英哲

近日，安全研究人員新發現了一種針對微軟Exchange服務器的概念驗證漏洞（PoC）。該漏洞只要稍作修改后便能將Web shell安裝在ProxyLogon漏洞上，進而影響Exchange服務器。自從微軟披露了主動利用的Exchange安全漏洞（統稱ProxyLogon）以來，管理員和安全研究人員一直致力于保護暴露在互聯網上的脆弱服務器。

2021年3月10日，越南安全研究人員Nguyen Jang公布ProxyLogon漏洞的首個漏洞利用，PoC代碼在GitHub公開，技術分析發布在medium平臺。隨后，多名安全研究人員都確認了該PoC的有效性。漏洞分析師警告稱，新的PoC很可能被腳本小子利用。

據了解，ProxyLogon其實是由4個不同的Exchange Server安全漏洞組成，Nguyen Jang打造的PoC程序則是串聯了其中的CVE-2021-26855與CVE-2021-27065漏洞，雖然該PoC程序無法直接用來攻擊，但只要稍加修改就能上陣。

“首先，我給出的PoC不能正常運行，它會出現很多錯誤，只是為了分享給讀者。”Jang對媒體表示。不過，該PoC提供了足夠的信息，安全研究人員和攻擊者可以利用它開發一個針對微軟Exchange服務器的功能性RCE漏洞。

在PoC發布后不久，Jang收到了一封來自微軟旗下GitHub的電子郵件，稱PoC因違反可接受使用政策而被下架。GitHub表示，他們下架PoC是為了保護可能被漏洞襲擊的設備。

GitHub表示，“PoC攻擊程序的公開及傳播對安全社群而言具有教育及研究價值，而該平臺的目標則是兼顧該價值與整個生態系統的安全，且其政策禁止用戶傳播正被積極開采漏洞的攻擊程序。”

新漏洞已成為腳本小子的囊中之物

CERT/CC的漏洞分析師Will Dorman在微軟Exchange服務器上測試了這個漏洞，證實它只需要稍作修改就可以生效。他警告稱，該漏洞已經在“腳本小子”的攻擊范圍內了。

從下圖中可以看到，Dorman對微軟Exchange服務器使用了該漏洞，遠程安裝了一個Web Shell，并執行了"whoami "命令。

Dorman分享的另一張圖片顯示，該漏洞在服務器的指定位置丟棄了test11.aspx Web shell。

NVISO高級分析師、SANS ISC高級處理員Didier Stevens也對微軟Exchange虛擬機測試了該漏洞，但在PoC上并沒有那么幸運。

Stevens表示，他針對未打補丁和未更新的Exchange 2016測試了PoC程序。不過，如果不調整一些活動目錄設置，PoC還是無法生效。然而，Stevens表示，近日來發布的PoC新信息使他能夠讓Jang公布的PoC程序工作，以實現對Microsoft Exchange服務器的遠程代碼執行成功。Stevens也同意Dorman的評估，新的PoC披露的信息將使腳本小子更容易創建一個有效的ProxyLogon漏洞。

8萬臺Exchange服務器仍存在漏洞

根據Palo Alto Networks的研究，互聯網上大約有8萬臺易受攻擊的Microsoft Exchange服務器暴露在互聯網上。

“根據2021年3月8日和11日進行的Expanse互聯網掃描，運行舊版本Exchange、無法直接應用最近發布的安全補丁的服務器數量，從預計的12.5萬臺下降到8萬臺，下降了30 %以上?！蔽④洷硎荆词挂资芄舻姆掌鲾盗看蠓陆担杂性S多服務器需要打補丁?！案鶕iskIQ的遙測，我們在3月1日看到了近40萬臺Exchange服務器存在漏洞。到3月9日，仍有10萬多臺服務器存在漏洞。這個數字一直在穩步下降，目前只剩下大約8.2萬臺需要更新。”微軟在一篇博客中表示。

值得注意的是，這些服務器中，有很多是舊版本，沒有可用的安全更新。但在3月11日，微軟為舊版本服務器發布了額外的安全更新版本，如今可以覆蓋95 %暴露在網絡中的服務器。