Exchange Server漏洞導致多年的安全動蕩

在第一批Microsoft Exchange Server漏洞被發現近兩年后，在可預見的未來，四組備受矚目的漏洞可能仍然是企業頭疼的問題。

安全供應商Devcore的研究員Orange Tsai因發現和報告所有四組Exchange漏洞而受到贊譽。在其10月份最近一次披露后，Tsai表示，他現在將不在研究Exchange漏洞，并宣布“這個系列終于結束”。

這將結束一項可追溯到 2020 年 12 月的活動，當時Tsai發現了臭名昭著的 ProxyLogon 漏洞，這使得管理員和防御者爭先恐后地修補他們的服務器，因為攻擊者啟動了一系列強大的漏洞利用。盡管Tsai現在可能已經結束漏洞發現工作，但專家表示，對于那些負責保護Exchange服務器的人來說，威脅不會很快解除。

Tenable公司人員研究工程師 Satnam Narang 告訴 TechTarget Editorial：“我認為它仍將是一個目標。只要這些系統可以在線訪問并且未打補丁，這仍然是一個問題。”

ProxyLogon引起轟動

第一組Microsoft Exchange漏洞仍然是最廣為人知的。ProxyLogon 漏洞包括CVE-2021-26855，這是一個服務器端請求偽造漏洞，允許攻擊者繞過無處不在的 Microsoft 通信服務器平臺的身份驗證控制。

雖然這樣的漏洞在大多數系統中似乎不是巨大的漏洞，但對于唯一目的是處理電子郵件的服務器來說，這是非常嚴重的漏洞。更糟糕的是，Tsai在 12 月下旬發現了另一個 Exchange 漏洞，當與 CVE-2021-26855 鏈接時，可能會形成遠程代碼執行漏洞。另外兩個相關漏洞是由丹麥信息安全咨詢公司Dubex和微軟自己的威脅情報中心發現。

Tsai后來指出，與其他Exchange漏洞一樣，這些漏洞是邏輯錯誤而不是內存溢出錯誤，這使得攻擊者更容易可靠地利用它們。

當三月份在實際環境中觀察到對ProxyLogon的大規模利用時，情況變得更糟。后來發現，在漏洞被披露之前就已經發生了一些針對該漏洞的攻擊。

根據Tsai的說法，對ProxyLogon漏洞的研究也為Devcore團隊提供了一個關于Exchange平臺的相當令人興奮但令人擔憂的發現。

他在 2021 年的一篇博客文章中寫道：“在從架構層面研究 ProxyLogon 時，我們發現它不僅是一個漏洞，而且是一個全新的攻擊面，以前從未有人提到過。這種攻擊面可能會導致黑客或安全研究人員出現更多漏洞。”

被遺忘的代理

當年晚些時候，Tsai公布第二個Proxy漏洞集。該漏洞集被稱為ProxyOracle，被認為是風險最低的，可能是四組漏洞中討論最少的。

該漏洞分為兩個單獨的CVE列出的漏洞，可以鏈接在一起并用于野外的網絡釣魚攻擊。在 ProxyOracle 攻擊中，未經授權的攻擊者可能能夠訪問會話 Cookie，最終通過相對簡單的跨站點腳本攻擊導致明文用戶密碼被盜。

Tsai指出，這種特殊的攻擊是狡猾的，因為即使目標用戶在攻擊過程中關閉了瀏覽器，攻擊仍然可以進行。

所有Shell都面臨危險

雖然 ProxyLogon 和 ProxyOracle 對企業構成了重大風險，但在 2021 年 8 月情況變得更加嚴重。在Black Hat USA會議的演講中，Tsai討論了第三組Exchange漏洞，稱為ProxyShell，他在當年四月的Zero Day Initiative的Pwn2Own溫哥華黑客競賽中首次闡明了這一點。

從本質上講，ProxyShell是三個漏洞：身份驗證繞過、特權提升和命令執行，當鏈接在一起時，遠程攻擊者可以通過端口443完全控制目標計算機。

在實踐中，這意味著攻擊者能夠創建腳本用于攻擊易受攻擊的機器，以執行從數據提取到勒索軟件攻擊的所有操作，以及可能導致更多損害的橫向網絡移動。

他們確實進行了攻擊 – 在Tsai發表演講后的一個月內，安全供應商報告說看到對ProxyShell漏洞的主動攻擊激增。雖然Tsai沒有發布ProxyShell的概念驗證漏洞，但另外兩名研究人員在Black Hat會議期間使用Tsai的工作復制并發布了POC。

盡管這些漏洞已在今年早些時候被披露和修補，但很多企業并沒有更新他們的系統，使他們的系統容易受到攻擊，這可能是由于沒有意識到漏洞的威脅，或者如果這三個漏洞鏈接在一起可能會發生什么。

Sevco Security公司首席體驗官兼聯合創始人Greg Fitzgerald表示，鑒于微軟在IT領域的廣泛影響力，在很多情況下，企業可能沒有意識到一個補丁星期二問題可能有多重要。

Fitzgerald 解釋說：“他們的效率很高，但曝光程度也很高。當他們在周二補丁日公布漏洞時，現實是漏洞會與其他工具相互關聯。”

以ProxyRelay結束

快進到 2022 年 10 月，很多攻擊者仍然成功利用 Exchange 服務器上未修補的 ProxyLogon 和 ProxyShell 漏洞，Tsai 公布第四組稱為 ProxyRelay。

四組漏洞中的最后一組再次是一系列漏洞，這些漏洞可以鏈接在一起，不僅可以破壞單個Exchange服務器，而且由于Microsoft NTLM組件中的漏洞，還可以使用相同的被盜帳戶憑據跳轉到網絡上的所有其他服務器。

在披露ProxyRelay時，Tsai還對微軟的補丁推出緩慢表示遺憾，并指出ProxyRelay鏈中CVE列出的問題之一在最終得到解決之前已經沒有修補長達一年。然而，研究人員確實指出，微軟希望在架構層面解決這個缺陷，因此這比發布傳統補丁需要更長的時間。

由于 ProxyRelay 仍然是一個相對較新的披露，因此關于使用該漏洞發生了多少次攻擊的數據很少。但是，歷史經驗表明，攻擊者將會渴望利用這第四組漏洞。

余波

盡管Tsai已經結束Proxy的漏洞發現工作，并承諾繼續開展新項目，但其他安全研究人員在過去兩年中發現了類似的Exchange Server漏洞，最近一次是ProxyNotShell漏洞。無論是否會發現新的代理漏洞，專家認為這四組漏洞（特別是ProxyLogon和ProxyShell ）將有長久的影響。

造成這種情況的一個主要因素可能是在很多用例中應用Exchange修復程序的難度。

Narang解釋說：“使用Exchange或VPN，修補這些并不是一個簡單的努力。這仍然是一個艱苦的過程。

然而，也許最令人不安的情況可能是當漏洞落入長期攻擊者手中時。

Fitzgerald指出，專注于網絡間諜活動或知識產權盜竊的攻擊者通常會尋求保持休眠狀態，但會長期存在于網絡上。這可能導致Proxy漏洞僅在幾年后再次困擾公司。

Fitzgerald警告稱：“某些威脅行為者只是想觀察。他們想保持在網絡內，這并不意味著他們正在拿走任何東西 – 他們正在觀看。”