首頁 >專題報導

Microsoft Exchange Proxylogon 漏洞說明

作者：劉家維/臺灣大學計資中心北區學術資訊安全維運中心工程師
李美雯/臺灣大學計算機及資訊網路中心程式設計師

微軟於3月2日安全公告中修補了4項Exchange Server 的Zero Day漏洞，且已發現多個駭客組織串連四項漏洞成功駭入Exchange Server 環境，透過植入Webshell 後門程式，攻擊者能夠長期掌控受害組織郵件伺服器，竊取機密資料。
根據資安媒體KrebsonSecurity報導，漏洞訊息公開後針對此漏洞的攻擊行為於數日內激增，全世界已有數十萬台的Exchange Server 受害，此次的四項Zero Day漏洞也被統稱為「Proxylogon 漏洞」。本篇將著重於討論Proxylogon 漏洞攻擊流程及漏洞防護的建議處理措施。

Exchange Server漏洞說明

Microsoft Exchange為微軟發行的一套電子郵件伺服器商業軟體，其支援多種電子郵件傳輸協議，如SMTP、NNTP、POP3和IMAP4，被世界各企業及學校廣泛利用於建構組織內部的電子郵件系統，本次的Proxylogon 漏洞屬於可繞過身分驗證的遠端執行任意程式漏洞(Remote Code Execution，RCE)，因其可程式化及自動進行範圍攻擊的特性，在短時間內美國境內已被發現逾三萬台設備遭植入Webshell後門程式竊取機密的郵件資料，產業別更是橫跨了政府單位、金融機構、電信公司等等，影響規模相當巨大。
於此次的Exchange 郵件伺服器漏洞風暴中台灣企業也遭受波及，據外媒報導國際知名的電腦大廠宏碁電腦(Acer)也成為了Proxylogon 漏洞的受害者，其歐美分公司於3月20日遭駭客團體REvil發動勒索攻擊，並要求高達5000萬美元的天價贖金，也是截至目前為止全世界Exchange漏洞遭攻擊事件被勒索最高金額的案例。
臺灣資安公司戴夫寇爾(DEVCORE)是此次漏洞的發現者，提出的漏洞說明與揭露時間表中指出 Proxylogon 漏洞為透過串聯下列4項Exchange Server Zero Day漏洞達到遠端植入後門程式的目的：

1. CVE-2021-26855 未經身分驗證的伺服器端請求偽造（SSRF）漏洞
2. CVE-2021-26857 通過身分驗證後Unified Messaging服務的反序列化漏洞
3. CVE-2021-26858檔案寫入漏洞，通過身分驗證後可任意寫入程式
4. CVE-2021-27065檔案寫入漏洞，通過身分驗證後可任意寫入程式

其中CVE-2021-26855—SSRF（Server Side Request Forgery，伺服器請求偽造）為此事件中的核心漏洞，也是駭客能夠成功入侵的第一步。
據Praetorian針對本事件的分析文章中所述，漏洞CVE-2021-26855發生點位於C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\bin檔案目錄下的動態連結函式庫Microsoft.Exchange.FrontEndHttpProxy.dll當中。因Exchange 於處理客戶端發送的Request封包時，對X-BEResource欄位字串處理不當，使得攻擊者可透過合法的SID進而取得有效Cookie 繞過身分驗證驗證階段，並結合後續三個漏洞達到遠端執行任意程式(Remote Code Execution，RCE)的最終目的。

透過概念驗證攻擊(Proof of concept Exploit, PoC)自我檢測

微軟（Microsoft）發布的漏洞修補程式公開後，每日仍然有數萬起針對全球組織的攻擊，為確認組織內部的Exchange 伺服器是否已處於安全狀態，利用於Github或各項漏洞測試工具上公開的概念驗證攻擊程式進行自我檢測，是個快速且有效的方法。

圖1. Github使用者0xAbdullah開發的概念驗證攻擊程式
(https://github.com/0xAbdullah/CVE-2021-26855)

圖2. 輸入URL快速檢測CVE-2021-26855 SSRF伺服器端請求偽造漏洞，
(https://github.com/0xAbdullah/CVE-2021-26855)

透過漏洞測試工具之概念驗證攻擊程式能夠直觀的確認Exchange伺服器是否包含 SSRF漏洞，並有效的協助組織內部確認修補措施的有效性。

影響範圍及建議處理措施

Proxylogon漏洞影響範圍涵蓋了2013、2016及2019 的Exchange 伺服器版本，為避免組織內部的Exchange遭受漏洞威脅，盡速更新所有的Exchange 伺服器是最優先的解決方案，微軟（Microsoft）也於3月22日宣布為了防止少數用戶沒有手動執行更新，將於Windows Update自動為用戶推送安裝安全性以修補Proxylogon漏洞。
如組織內部因特殊狀況無法立即更新及修補Exchange伺服器，可透過以下緩解措施降低遭受攻擊的風險。

1. Microsoft Exchange On-Premises Mitigation Tool（EOMT）
EOMT透過自動更改URL Rewrite配置，及執行Microsoft Safety Scanner可自動緩解核心漏洞所造成的威脅。

2. WAF(Web Application Firewall, 網站應用程式防火牆)、IPS(Intrusion Prevention System, 入侵偵測防護系統)
透過已更新特徵值偵測規則的WAF或IPS資安防護設備，偵測及阻擋帶有惡意特徵的異常連線行為。

3. 停用部分Exchange 功能
透過於停用整合通訊服務（Unified Messaging）、離線通訊錄（OAB）的虛擬目錄及過濾器加入IIS覆寫規則等等，可提高駭客漏洞利用的難度，降低受害風險。

結論

資安從業人員應時刻關注資安新聞與弱點修補公告，在面臨如Proxylogon重大漏洞發生時，於第一時間擬定修補計畫。如處在修補程式尚未釋出的空窗期，需檢視組織自身的資安防護政策是否可提高入侵門檻，降低因漏洞造成組織被攻擊的危機。

參考資料

1. iThome (多家資安廠商提出建議的緩解措施)：https://www.ithome.com.tw/news/143305
2. iThome(微軟Exchange郵件伺服器漏洞研究與揭露時間表)：
https://www.ithome.com.tw/news/143316
3. iThome(如何扮演一個稱職的企業資安人員)：https://www.ithome.com.tw/news/108014
4. Microsoft Security Response Center(EOMT Tool)：
https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/
5. TechNews (Exchange Server 零時差漏洞攻擊頻傳，可用四招因應)：https://technews.tw/2021/03/16/exchange-server/
6. 安全客(Microsoft Exchange Server CVE-2021–26855 漏洞利用)：https://www.anquanke.com/post/id/234607
7. 嘶吼論壇(Microsoft Exchange Proxylogon漏洞利用鏈)：https://www.4hou.com/posts/q66D
8. Praetorian(Reproducing the Microsoft Exchange Proxylogon Exploit Chain)：
https://www.praetorian.com/blog/reproducing-proxylogon-exploit/
9. Github(0xAbdullah /CVE-2021-26855)：https://github.com/0xAbdullah/CVE-2021-26855
10. ZDNet(Everything you need to know about the Microsoft Exchange Server hack)：
https://www.zdnet.com/article/everything-you-need-to-know-about-microsoft-exchange-server-hack/