ProxyLogon研究人员详细介绍新的Exchange Server漏洞

去年在微软Exchange服务器中发现ProxyLogon漏洞的安全研究人员本周详细介绍了其他Exchange漏洞，其中包括花了一年多时间修补和披露的漏洞。

台湾咨询公司Devcore的安全研究员Orange Tsai在2020年底首次发现了ProxyLogon，这是一个服务器端请求伪造漏洞，可能允许攻击者绕过Exchange服务器中的身份验证。随后，他演示了如何将这个关键漏洞与另一个 Exchange Server 漏洞（CVE-2021-27065）链接在一起，以实现远程代码执行。

在微软公开披露和修补该漏洞前，名为Hafnium的团伙在一系列零日攻击中利用了该漏洞。ProxyLogon的发现在当年晚些时候产生了另一组危险的漏洞，称为ProxyShell，它影响着很多未修补的Exchange服务器。

在周三的一篇博客文章中，Orange Tsai详细介绍了他发现的一组新的Exchange Server漏洞，并将其命名为ProxyRelay，这些漏洞允许攻击者绕过身份验证或实现代码执行，而无需用户交互。这些漏洞会影响Windows新技术局域网管理器（NTLM），这是一组用于验证用户身份的工具。

Tsai在博客中写道：“由于这是一个完整的攻击面而不是单个漏洞，这种做法可以应用于不同的环境，导致不同的漏洞。”

其中一个漏洞（CVE-2022-21979）是Tsai于6月2日首次向微软报告的Exchange信息泄露漏洞。然而，这家科技巨头直到8月18日才公开披露或修补该漏洞，此前Devcore多次请求扩展和跟进。

Tsai写道：“我们本可以更早地发布这篇文章（原始漏洞已于2021年6月报告给MSRC [微软安全响应中心]，并制定了90天的公共披露政策）。但是，在与MSRC通信期间，他们解释说，由于这是一个架构设计问题，因此需要进行大量代码更改和测试，因此他们希望通过一次性 CU（累积更新）而不是常规的星期二补丁日来解决此问题。我们理解他们的情况，并同意延长最后期限。”

在微软于4月份发布了Exchange Server 2019和2016的CU之后，Tsai的漏洞利用仍可用在最新版本，因为默认情况下未启用该补丁。CVE-2022-21979补丁最终完成并作为微软2022年8月补丁星期二的一部分发布。

微软尚未解释为什么花了这么长时间才披露和修补CVE-2022-21979。

微软发言人在给TechTarget的电子邮件中说：“我们在2022年8月发布了更新来解决此问题，已安装所有可用更新的客户已受到保护。我们感谢Orange Tsai和所有与我们合作的安全研究人员的工作，他们通过协调漏洞披露来识别和解决问题。”

Tsai在他的博客文章中指出，来自中国腾讯安全宣武实验室的一位名为Dlive的安全研究人员独立发现并向微软报告了这个攻击面，并对ProxyRelay的几个CVE提供了帮助。

ProxyRelay的发现

在研究是否有办法绕过微软针对2021年Proxy相关攻击的缓解措施时，Tsai首次发现了这些漏洞。虽然缓解措施解决了Devcore研究人员披露的问题，但Tsai表示，由于微软只修复了“有问题的代码”，Exchange在未来仍然容易受到类似的攻击。

他的理论在九月份得到了证实，当时两个新的Exchange服务器零日漏洞（研究人员称之为ProxyNotShell）在现实世界中被利用。这些漏洞由越南网络安全公司GTSC发现，与ProxyLogon类似，也被利用为零日漏洞。

根据其博客文章显示，Tsai测试的另一个攻击媒介是NTLM，威胁参与者可以使用它来模拟Exchange服务中的任何用户。他们的进一步的研究和渗透测试表明，可以利用NTLM 并将恶意身份验证从一个 Exchange 服务器中继到另一个服务器。

根据Tsai的说法，尽管缓解攻击面花了一年多的时间，但CVE-2022-21979的补丁是成功的，因为它通过在IIS [Internet信息服务]中强制打开扩展保护身份验证，永久消除了对后端的所有中继攻击。此前，Devcore研究人员利用它来绕过身份验证。