Exchange Server漏洞导致多年的安全动荡

在第一批Microsoft Exchange Server漏洞被发现近两年后，在可预见的未来，四组备受瞩目的漏洞可能仍然是企业头疼的问题。

安全供应商Devcore的研究员Orange Tsai因发现和报告所有四组Exchange漏洞而受到赞誉。在其10月份最近一次披露后，Tsai表示，他现在将不在研究Exchange漏洞，并宣布“这个系列终于结束”。

这将结束一项可追溯到 2020 年 12 月的活动，当时Tsai发现了臭名昭著的 ProxyLogon 漏洞，这使得管理员和防御者争先恐后地修补他们的服务器，因为攻击者启动了一系列强大的漏洞利用。尽管Tsai现在可能已经结束漏洞发现工作，但专家表示，对于那些负责保护Exchange服务器的人来说，威胁不会很快解除。

Tenable公司人员研究工程师 Satnam Narang 告诉 TechTarget Editorial：“我认为它仍将是一个目标。只要这些系统可以在线访问并且未打补丁，这仍然是一个问题。”

ProxyLogon引起轰动

第一组Microsoft Exchange漏洞仍然是最广为人知的。ProxyLogon 漏洞包括CVE-2021-26855，这是一个服务器端请求伪造漏洞，允许攻击者绕过无处不在的 Microsoft 通信服务器平台的身份验证控制。

虽然这样的漏洞在大多数系统中似乎不是巨大的漏洞，但对于唯一目的是处理电子邮件的服务器来说，这是非常严重的漏洞。更糟糕的是，Tsai在 12 月下旬发现了另一个 Exchange 漏洞，当与 CVE-2021-26855 链接时，可能会形成远程代码执行漏洞。另外两个相关漏洞是由丹麦信息安全咨询公司Dubex和微软自己的威胁情报中心发现。

Tsai后来指出，与其他Exchange漏洞一样，这些漏洞是逻辑错误而不是内存溢出错误，这使得攻击者更容易可靠地利用它们。

当三月份在实际环境中观察到对ProxyLogon的大规模利用时，情况变得更糟。后来发现，在漏洞被披露之前就已经发生了一些针对该漏洞的攻击。

根据Tsai的说法，对ProxyLogon漏洞的研究也为Devcore团队提供了一个关于Exchange平台的相当令人兴奋但令人担忧的发现。

他在 2021 年的一篇博客文章中写道：“在从架构层面研究 ProxyLogon 时，我们发现它不仅是一个漏洞，而且是一个全新的攻击面，以前从未有人提到过。这种攻击面可能会导致黑客或安全研究人员出现更多漏洞。”

被遗忘的代理

当年晚些时候，Tsai公布第二个Proxy漏洞集。该漏洞集被称为ProxyOracle，被认为是风险最低的，可能是四组漏洞中讨论最少的。

该漏洞分为两个单独的CVE列出的漏洞，可以链接在一起并用于野外的网络钓鱼攻击。在 ProxyOracle 攻击中，未经授权的攻击者可能能够访问会话 Cookie，最终通过相对简单的跨站点脚本攻击导致明文用户密码被盗。

Tsai指出，这种特殊的攻击是狡猾的，因为即使目标用户在攻击过程中关闭了浏览器，攻击仍然可以进行。

所有Shell都面临危险

虽然 ProxyLogon 和 ProxyOracle 对企业构成了重大风险，但在 2021 年 8 月情况变得更加严重。在Black Hat USA会议的演讲中，Tsai讨论了第三组Exchange漏洞，称为ProxyShell，他在当年四月的Zero Day Initiative的Pwn2Own温哥华黑客竞赛中首次阐明了这一点。

从本质上讲，ProxyShell是三个漏洞：身份验证绕过、特权提升和命令执行，当链接在一起时，远程攻击者可以通过端口443完全控制目标计算机。

在实践中，这意味着攻击者能够创建脚本用于攻击易受攻击的机器，以执行从数据提取到勒索软件攻击的所有操作，以及可能导致更多损害的横向网络移动。

他们确实进行了攻击 – 在Tsai发表演讲后的一个月内，安全供应商报告说看到对ProxyShell漏洞的主动攻击激增。虽然Tsai没有发布ProxyShell的概念验证漏洞，但另外两名研究人员在Black Hat会议期间使用Tsai的工作复制并发布了POC。

尽管这些漏洞已在今年早些时候被披露和修补，但很多企业并没有更新他们的系统，使他们的系统容易受到攻击，这可能是由于没有意识到漏洞的威胁，或者如果这三个漏洞链接在一起可能会发生什么。

Sevco Security公司首席体验官兼联合创始人Greg Fitzgerald表示，鉴于微软在IT领域的广泛影响力，在很多情况下，企业可能没有意识到一个补丁星期二问题可能有多重要。

Fitzgerald 解释说：“他们的效率很高，但曝光程度也很高。当他们在周二补丁日公布漏洞时，现实是漏洞会与其他工具相互关联。”

以ProxyRelay结束

快进到 2022 年 10 月，很多攻击者仍然成功利用 Exchange 服务器上未修补的 ProxyLogon 和 ProxyShell 漏洞，Tsai 公布第四组称为 ProxyRelay。

四组漏洞中的最后一组再次是一系列漏洞，这些漏洞可以链接在一起，不仅可以破坏单个Exchange服务器，而且由于Microsoft NTLM组件中的漏洞，还可以使用相同的被盗帐户凭据跳转到网络上的所有其他服务器。

在披露ProxyRelay时，Tsai还对微软的补丁推出缓慢表示遗憾，并指出ProxyRelay链中CVE列出的问题之一在最终得到解决之前已经没有修补长达一年。然而，研究人员确实指出，微软希望在架构层面解决这个缺陷，因此这比发布传统补丁需要更长的时间。

由于 ProxyRelay 仍然是一个相对较新的披露，因此关于使用该漏洞发生了多少次攻击的数据很少。但是，历史经验表明，攻击者将会渴望利用这第四组漏洞。

余波

尽管Tsai已经结束Proxy的漏洞发现工作，并承诺继续开展新项目，但其他安全研究人员在过去两年中发现了类似的Exchange Server漏洞，最近一次是ProxyNotShell漏洞。无论是否会发现新的代理漏洞，专家认为这四组漏洞（特别是ProxyLogon和ProxyShell ）将有长久的影响。

造成这种情况的一个主要因素可能是在很多用例中应用Exchange修复程序的难度。

Narang解释说：“使用Exchange或VPN，修补这些并不是一个简单的努力。这仍然是一个艰苦的过程。

然而，也许最令人不安的情况可能是当漏洞落入长期攻击者手中时。

Fitzgerald指出，专注于网络间谍活动或知识产权盗窃的攻击者通常会寻求保持休眠状态，但会长期存在于网络上。这可能导致Proxy漏洞仅在几年后再次困扰公司。

Fitzgerald警告称：“某些威胁行为者只是想观察。他们想保持在网络内，这并不意味着他们正在拿走任何东西 – 他们正在观看。”