聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

在2021年黑帽大会上，研究员 Orange Tsai 发布了微软 Exchange ProxyShell 远程代码执行漏洞的详情，于是威胁行动者们开始积极扫描该漏洞。

ProxyShell 是三个漏洞的统称，它们可被组合用于在微软 Exchange 服务器上执行未认证的远程代码。攻击者可通过在IIS 中端口443 运行的微软 Exchange Client Access Service (CAS) 远程组合利用这些漏洞：

• CVE-2021-34473：预认证路径混淆漏洞，导致ACL绕过（已在四月修复）

• CVE-2021-34523：Exchange PowerShell 后端上的提权漏洞（已在四月修复）

• CVE-2021-31207：利用后任意文件写漏洞导致远程代码执行漏洞（已在五月修复）

奇怪的是，虽然CVE-2021-34473和CVE-2021-34523首先在7月份披露，但实际上它们早在4月份微软 Exchange KB5001779 累积更新中已修复。这些漏洞是由Devcore 公司的首席安全研究员 Orange Tsai 发现的，他所在的团队因在四月举办的Pwn2Own 黑客大赛中对这些漏洞进行利用而获得20万美元的奖励。

上周四，Orange Tsai 在黑客大会上公布了自己在微软 Exchange Client Service (CAS) 攻击面上找到的微软Exchange 漏洞。他解释称，ProxyShell 攻击链中的一个组件针对的是Exchange Autodiscover 服务。微软引入该服务的目的是使邮件客户端软件能够轻松自动配置最小的用户输入。

看到 Orange Tsai 的演讲后，安全研究员 PeterJson 和 Jang 发布文章，提供了成功复现 ProxyShell exploit 的技术信息。

攻击者扫描易受攻击的 Exchange 服务器

本周，安全研究员 Kevin Beaumont 指出，某威胁者正在攻击其微软 Exchange 蜜罐，针对的是服务器的 Autodiscover 服务。虽然最初尝试并不成功，但昨晚获悉该漏洞的更多详情后，攻击者更改了扫描，使用了Tsai 公布的新的 Autodiscover URL。

https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com

该URL 使得威胁行动者成功地检测到一个易受攻击的系统，因为它出发了 ASP.NET web应用的编译。

Jang 表示访问该URL将导致 ASP.NET 工作者进程 (w3wp.exeexe) 编译 web 应用。

Beaumont 建议管理员使用 Azure Sentinel 检查 IIS 日志中是否存在 "/autodiscover/autodiscover.json" 或  "/mapi/nspi/" 字符串。

如结果列出了目标 Autodiscover URL，则证明攻击者正在扫描服务器中的漏洞。虽然目前攻击者的扫描成功率较低，但在野实现成功利用只是时间问题。强烈建议微软 Exchange 管理员安装最新累积更新，保护自身免受攻击。

补丁已发布

ProxyShell 漏洞的补丁已发布，攻击将很快出现，就像三月份 ProxyLogon 攻击导致的勒索攻击、恶意软件和数据被盗等。

Orange Tsai 指出，目前互联网上暴露了40万台微软 Exchange 服务器。

微软尚未就此事置评。

推荐阅读

【BlackHat】研究员吐槽苹果漏洞奖励计划

【BlackHat】亚马逊和谷歌修复DNS即平台中的严重漏洞

Black Hat USA 2021主议题介绍

原文链接

https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~