信息來源:Freebuf
3月14日,安全研究人員新發(fā)現(xiàn)了一種針對(duì)微軟Exchange服務(wù)器的PoC(概念驗(yàn)證漏洞)。該漏洞稍作修改后能將Web shell安裝在ProxyLogon漏洞上,進(jìn)而影響Exchange服務(wù)器。
自從微軟披露了主動(dòng)利用的Exchange安全漏洞(統(tǒng)稱為ProxyLogon)以來,管理員和安全研究人員一直致力于保護(hù)暴露在互聯(lián)網(wǎng)上的脆弱服務(wù)器。
3月10日,越南安全研究人員Nguyen Jang公布ProxyLogon漏洞的首個(gè)漏洞利用,PoC代碼在GitHub公開,技術(shù)分析發(fā)布在medium平臺(tái)。
隨后,多名安全研究人員都確認(rèn)了該P(yáng)oC的有效性。漏洞分析師警告稱,新的PoC很可能被腳本小子利用。
據(jù)了解,ProxyLogon其實(shí)是由4個(gè)不同的Exchange Server安全漏洞所組成,Nguyen Jang所打造的PoC程序則是串聯(lián)了其中的CVE-2021-26855與CVE-2021-27065漏洞,雖然該P(yáng)oC程序無(wú)法直接用來攻擊,但只要稍加修改就能上陣。
"首先,我給出的PoC不能正常運(yùn)行。它會(huì)出現(xiàn)很多錯(cuò)誤。只是為了分享給讀者。"Jang對(duì)媒體表示。
不過,該P(yáng)oC提供了足夠的信息,安全研究人員和攻擊者可以利用它來開發(fā)一個(gè)針對(duì)微軟Exchange服務(wù)器的功能性RCE漏洞。
在PoC發(fā)布后不久,Jang收到了一封來自微軟旗下GitHub的電子郵件,稱PoC因違反可接受使用政策而被下架。GitHub表示,他們下架PoC是為了保護(hù)可能被漏洞襲擊的設(shè)備。
GitHub表示,“PoC攻擊程序的公開及傳播對(duì)安全社群而言具有教育及研究?jī)r(jià)值,而該平臺(tái)的目標(biāo)則是兼顧該價(jià)值與整個(gè)生態(tài)系統(tǒng)統(tǒng)的安全,且其政策禁止用戶傳播正被積極開采之漏洞的攻擊程序?!?
新漏洞已成為腳本小子的囊中之物
CERT/CC的漏洞分析師Will Dorman在微軟的Exchange服務(wù)器上測(cè)試了這個(gè)漏洞,證實(shí)它只需要稍作修改就可以生效。
他警告稱,該漏洞已經(jīng)在 "腳本小子 "攻擊范圍內(nèi)了。
從下圖中可以看到,Dorman對(duì)微軟Exchange服務(wù)器使用了該漏洞,遠(yuǎn)程安裝了一個(gè)web shell,并執(zhí)行了 "whoami "命令。
Dorman分享的另一張圖片顯示,該漏洞在服務(wù)器的指定位置丟棄了test11.aspx Web shell。
NVISO高級(jí)分析師、SANS ISC高級(jí)處理員Didier Stevens也對(duì)微軟Exchange虛擬機(jī)測(cè)試了該漏洞,但在PoC上并沒有那么幸運(yùn)。
Stevens表示,他針對(duì)未打補(bǔ)丁和未更新的Exchange 2016測(cè)試了PoC程序。不過,如果不調(diào)整一些活動(dòng)目錄設(shè)置PoC還是無(wú)法生效。
然而,Stevens表示,本周末發(fā)布的PoC中的新信息使他能夠讓Jang公布的PoC程序工作,以實(shí)現(xiàn)對(duì)其Microsoft Exchange服務(wù)器的遠(yuǎn)程代碼執(zhí)行成功。
Stevens也同意Dorman的評(píng)估,新的PoC中披露的信息將使腳本小子更容易創(chuàng)建一個(gè)有效的ProxyLogon漏洞。
8萬(wàn)臺(tái)Exchange服務(wù)器仍存在漏洞
根據(jù)Palo Alto Networks的研究,互聯(lián)網(wǎng)上大約有8萬(wàn)臺(tái)易受攻擊的Microsoft Exchange服務(wù)器暴露在互聯(lián)網(wǎng)上。
“根據(jù)3月8日和11日進(jìn)行的Expanse互聯(lián)網(wǎng)掃描,運(yùn)行舊版本Exchange、無(wú)法直接應(yīng)用最近發(fā)布的安全補(bǔ)丁的服務(wù)器數(shù)量,從預(yù)計(jì)的12.5萬(wàn)臺(tái)下降到8萬(wàn)臺(tái),下降了30%以上?!?
微軟則表示,即使易受攻擊的服務(wù)器數(shù)量大幅下降,但仍有許多服務(wù)器需要打補(bǔ)丁。
“根據(jù)RiskIQ的遙測(cè),我們?cè)?月1日看到了近40萬(wàn)臺(tái)Exchange服務(wù)器存在漏洞。到3月9日,仍有10萬(wàn)多臺(tái)服務(wù)器存在漏洞。這個(gè)數(shù)字一直在穩(wěn)步下降,目前只剩下大約8.2萬(wàn)臺(tái)需要更新。”微軟在一篇博客中表示。
這些服務(wù)器中,有很多是舊版本,沒有可用的安全更新。但在3月11日,微軟為舊版本服務(wù)器發(fā)布了額外的安全更新版本,如今可以覆蓋95%的暴露在網(wǎng)絡(luò)中的服務(wù)器。