ProxyLogon研究人員詳細介紹新的Exchange Server漏洞

去年在微軟Exchange服務器中發現ProxyLogon漏洞的安全研究人員本周詳細介紹了其他Exchange漏洞，其中包括花了一年多時間修補和披露的漏洞。

臺灣咨詢公司Devcore的安全研究員Orange Tsai在2020年底首次發現了ProxyLogon，這是一個服務器端請求偽造漏洞，可能允許攻擊者繞過Exchange服務器中的身份驗證。隨后，他演示了如何將這個關鍵漏洞與另一個 Exchange Server 漏洞（CVE-2021-27065）鏈接在一起，以實現遠程代碼執行。

在微軟公開披露和修補該漏洞前，名為Hafnium的團伙在一系列零日攻擊中利用了該漏洞。ProxyLogon的發現在當年晚些時候產生了另一組危險的漏洞，稱為ProxyShell，它影響著很多未修補的Exchange服務器。

在周三的一篇博客文章中，Orange Tsai詳細介紹了他發現的一組新的Exchange Server漏洞，并將其命名為ProxyRelay，這些漏洞允許攻擊者繞過身份驗證或實現代碼執行，而無需用戶交互。這些漏洞會影響Windows新技術局域網管理器（NTLM），這是一組用于驗證用戶身份的工具。

Tsai在博客中寫道：“由于這是一個完整的攻擊面而不是單個漏洞，這種做法可以應用于不同的環境，導致不同的漏洞。”

其中一個漏洞（CVE-2022-21979）是Tsai于6月2日首次向微軟報告的Exchange信息泄露漏洞。然而，這家科技巨頭直到8月18日才公開披露或修補該漏洞，此前Devcore多次請求擴展和跟進。

Tsai寫道：“我們本可以更早地發布這篇文章（原始漏洞已于2021年6月報告給MSRC [微軟安全響應中心]，并制定了90天的公共披露政策）。但是，在與MSRC通信期間，他們解釋說，由于這是一個架構設計問題，因此需要進行大量代碼更改和測試，因此他們希望通過一次性 CU（累積更新）而不是常規的星期二補丁日來解決此問題。我們理解他們的情況，并同意延長最后期限。”

在微軟于4月份發布了Exchange Server 2019和2016的CU之后，Tsai的漏洞利用仍可用在最新版本，因為默認情況下未啟用該補丁。CVE-2022-21979補丁最終完成并作為微軟2022年8月補丁星期二的一部分發布。

微軟尚未解釋為什么花了這么長時間才披露和修補CVE-2022-21979。

微軟發言人在給TechTarget的電子郵件中說：“我們在2022年8月發布了更新來解決此問題，已安裝所有可用更新的客戶已受到保護。我們感謝Orange Tsai和所有與我們合作的安全研究人員的工作，他們通過協調漏洞披露來識別和解決問題。”

Tsai在他的博客文章中指出，來自中國騰訊安全宣武實驗室的一位名為Dlive的安全研究人員獨立發現并向微軟報告了這個攻擊面，并對ProxyRelay的幾個CVE提供了幫助。

ProxyRelay的發現

在研究是否有辦法繞過微軟針對2021年Proxy相關攻擊的緩解措施時，Tsai首次發現了這些漏洞。雖然緩解措施解決了Devcore研究人員披露的問題，但Tsai表示，由于微軟只修復了“有問題的代碼”，Exchange在未來仍然容易受到類似的攻擊。

他的理論在九月份得到了證實，當時兩個新的Exchange服務器零日漏洞（研究人員稱之為ProxyNotShell）在現實世界中被利用。這些漏洞由越南網絡安全公司GTSC發現，與ProxyLogon類似，也被利用為零日漏洞。

根據其博客文章顯示，Tsai測試的另一個攻擊媒介是NTLM，威脅參與者可以使用它來模擬Exchange服務中的任何用戶。他們的進一步的研究和滲透測試表明，可以利用NTLM 并將惡意身份驗證從一個 Exchange 服務器中繼到另一個服務器。

根據Tsai的說法，盡管緩解攻擊面花了一年多的時間，但CVE-2022-21979的補丁是成功的，因為它通過在IIS [Internet信息服務]中強制打開擴展保護身份驗證，永久消除了對后端的所有中繼攻擊。此前，Devcore研究人員利用它來繞過身份驗證。