研究人員發(fā)現(xiàn)微軟Exchange新漏洞

王英哲

近日，安全研究人員新發(fā)現(xiàn)了一種針對微軟Exchange服務器的概念驗證漏洞（PoC）。該漏洞只要稍作修改后便能將Web shell安裝在ProxyLogon漏洞上，進而影響Exchange服務器。自從微軟披露了主動利用的Exchange安全漏洞（統(tǒng)稱ProxyLogon）以來，管理員和安全研究人員一直致力于保護暴露在互聯(lián)網(wǎng)上的脆弱服務器。

2021年3月10日，越南安全研究人員Nguyen Jang公布ProxyLogon漏洞的首個漏洞利用，PoC代碼在GitHub公開，技術分析發(fā)布在medium平臺。隨后，多名安全研究人員都確認了該PoC的有效性。漏洞分析師警告稱，新的PoC很可能被腳本小子利用。

據(jù)了解，ProxyLogon其實是由4個不同的Exchange Server安全漏洞組成，Nguyen Jang打造的PoC程序則是串聯(lián)了其中的CVE-2021-26855與CVE-2021-27065漏洞，雖然該PoC程序無法直接用來攻擊，但只要稍加修改就能上陣。

“首先，我給出的PoC不能正常運行，它會出現(xiàn)很多錯誤，只是為了分享給讀者。”Jang對媒體表示。不過，該PoC提供了足夠的信息，安全研究人員和攻擊者可以利用它開發(fā)一個針對微軟Exchange服務器的功能性RCE漏洞。

在PoC發(fā)布后不久，Jang收到了一封來自微軟旗下GitHub的電子郵件，稱PoC因違反可接受使用政策而被下架。GitHub表示，他們下架PoC是為了保護可能被漏洞襲擊的設備。

GitHub表示，“PoC攻擊程序的公開及傳播對安全社群而言具有教育及研究價值，而該平臺的目標則是兼顧該價值與整個生態(tài)系統(tǒng)的安全，且其政策禁止用戶傳播正被積極開采漏洞的攻擊程序。”

新漏洞已成為腳本小子的囊中之物

CERT/CC的漏洞分析師Will Dorman在微軟Exchange服務器上測試了這個漏洞，證實它只需要稍作修改就可以生效。他警告稱，該漏洞已經(jīng)在“腳本小子”的攻擊范圍內(nèi)了。

從下圖中可以看到，Dorman對微軟Exchange服務器使用了該漏洞，遠程安裝了一個Web Shell，并執(zhí)行了"whoami "命令。

Dorman分享的另一張圖片顯示，該漏洞在服務器的指定位置丟棄了test11.aspx Web shell。

NVISO高級分析師、SANS ISC高級處理員Didier Stevens也對微軟Exchange虛擬機測試了該漏洞，但在PoC上并沒有那么幸運。

Stevens表示，他針對未打補丁和未更新的Exchange 2016測試了PoC程序。不過，如果不調(diào)整一些活動目錄設置，PoC還是無法生效。然而，Stevens表示，近日來發(fā)布的PoC新信息使他能夠讓Jang公布的PoC程序工作，以實現(xiàn)對Microsoft Exchange服務器的遠程代碼執(zhí)行成功。Stevens也同意Dorman的評估，新的PoC披露的信息將使腳本小子更容易創(chuàng)建一個有效的ProxyLogon漏洞。

8萬臺Exchange服務器仍存在漏洞

根據(jù)Palo Alto Networks的研究，互聯(lián)網(wǎng)上大約有8萬臺易受攻擊的Microsoft Exchange服務器暴露在互聯(lián)網(wǎng)上。

“根據(jù)2021年3月8日和11日進行的Expanse互聯(lián)網(wǎng)掃描，運行舊版本Exchange、無法直接應用最近發(fā)布的安全補丁的服務器數(shù)量，從預計的12.5萬臺下降到8萬臺，下降了30 %以上。”微軟表示，即使易受攻擊的服務器數(shù)量大幅下降，但仍有許多服務器需要打補丁。“根據(jù)RiskIQ的遙測，我們在3月1日看到了近40萬臺Exchange服務器存在漏洞。到3月9日，仍有10萬多臺服務器存在漏洞。這個數(shù)字一直在穩(wěn)步下降，目前只剩下大約8.2萬臺需要更新。”微軟在一篇博客中表示。

值得注意的是，這些服務器中，有很多是舊版本，沒有可用的安全更新。但在3月11日，微軟為舊版本服務器發(fā)布了額外的安全更新版本，如今可以覆蓋95 %暴露在網(wǎng)絡中的服務器。