Microsoft Exchange Server 作為當今世界上最常見的郵件解決方案,已經幾乎是企業以及政府每日工作與維繫安全不可或缺的一部分!在今年一月,我們回報了一系列的 Exchange Server 漏洞給 Microsoft,並且將這個漏洞它命名為 ProxyLogon,相信如果您有在關注業界新聞,一定也聽過這個名字!ProxyLogon 也許是 Exchange 歷史上最嚴重、影響力也最大的一個漏洞!
隨著更深入的從架構層去研究 ProxyLogon,我們發現它不僅僅只是一個漏洞,而是一整個新的、沒有人提過的攻擊面可讓駭客或安全研究員去挖掘更多的漏洞。因此我們專注深入研究這個攻擊面,並從中發現了至少八個漏洞,這些漏洞涵蓋了伺服器端、客戶端,甚至密碼學漏洞,我們並將這些漏洞組合成了三個攻擊鏈:
- ProxyLogon: 最知名、影響力也最大的 Exchange 攻擊鏈
- ProxyOracle: 一個可以還原任意 Exchange 使用者明文密碼的攻擊鏈
- ProxyShell: 我們在 Pwn2Own 2021 上展示打掉 Exchange 的攻擊鏈
所有我們找到的漏洞都是邏輯漏洞,這代表相較於記憶體毀損類型的漏洞,這些漏洞更容易被重現以及利用,我們也將成果發表至 Black Hat USA 及 DEFCON 上,也同時獲得了 2021 Pwnie Awards 年度 Best Server-Side Bug 獎項,如果你有興趣的話可以從這邊下載會議的投影片!
- ProxyLogon is Just the Tip of the Iceberg: A New Attack Surface on Microsoft Exchange Server! [投影片] [影片]
本次提及的漏洞皆經過負責任的漏洞接露程序回報給微軟、並獲得修復,您可以從下面這張圖查看詳細的漏洞編號及回報時間表。
| Report Time | Name | CVE | Patch Time | CAS[1] | Reported By |
|---|---|---|---|---|---|
| Jan 05, 2021 | ProxyLogon | CVE-2021-26855 | Mar 02, 2021 | Yes | Orange Tsai, Volexity and MSTIC |
| Jan 05, 2021 | ProxyLogon | CVE-2021-27065 | Mar 02, 2021 | - | Orange Tsai, Volexity and MSTIC |
| Jan 17, 2021 | ProxyOracle | CVE-2021-31196 | Jul 13, 2021 | Yes | Orange Tsai |
| Jan 17, 2021 | ProxyOracle | CVE-2021-31195 | May 11, 2021 | - | Orange Tsai |
| Apr 02, 2021 | ProxyShell[2] | CVE-2021-34473 | Apr 13, 2021 | Yes | Orange Tsai working with ZDI |
| Apr 02, 2021 | ProxyShell[2] | CVE-2021-34523 | Apr 13, 2021 | Yes | Orange Tsai working with ZDI |
| Apr 02, 2021 | ProxyShell[2] | CVE-2021-31207 | May 11, 2021 | - | Orange Tsai working with ZDI |
| Jun 02, 2021 | - | - | - | Yes | Orange Tsai |
| Jun 02, 2021 | - | CVE-2021-33768 | Jul 13, 2021 | - | Orange Tsai and Dlive |
[1] Bugs relate to this new attack surface direclty
[2] Pwn2Own 2021 bugs
更詳盡的技術細節我們已陸續公布,後續連結會持續更新於本文,敬請期待:
- A New Attack Surface on MS Exchange Part 1 - ProxyLogon!
- A New Attack Surface on MS Exchange Part 2 - ProxyOracle!
- A New Attack Surface on MS Exchange Part 3 (coming soon…)
- A New Attack Surface on MS Exchange Part 4 (coming soon…)