信息來源：Freebuf

3月14日，安全研究人員新發(fā)現(xiàn)了一種針對微軟Exchange服務(wù)器的PoC（概念驗證漏洞）。該漏洞稍作修改后能將Web shell安裝在ProxyLogon漏洞上，進(jìn)而影響Exchange服務(wù)器。

自從微軟披露了主動利用的Exchange安全漏洞（統(tǒng)稱為ProxyLogon）以來，管理員和安全研究人員一直致力于保護(hù)暴露在互聯(lián)網(wǎng)上的脆弱服務(wù)器。

3月10日，越南安全研究人員Nguyen Jang公布ProxyLogon漏洞的首個漏洞利用，PoC代碼在GitHub公開，技術(shù)分析發(fā)布在medium平臺。

隨后，多名安全研究人員都確認(rèn)了該PoC的有效性。漏洞分析師警告稱，新的PoC很可能被腳本小子利用。

據(jù)了解，ProxyLogon其實是由4個不同的Exchange Server安全漏洞所組成，Nguyen Jang所打造的PoC程序則是串聯(lián)了其中的CVE-2021-26855與CVE-2021-27065漏洞，雖然該PoC程序無法直接用來攻擊，但只要稍加修改就能上陣。

"首先，我給出的PoC不能正常運行。它會出現(xiàn)很多錯誤。只是為了分享給讀者。"Jang對媒體表示。

不過，該PoC提供了足夠的信息，安全研究人員和攻擊者可以利用它來開發(fā)一個針對微軟Exchange服務(wù)器的功能性RCE漏洞。

在PoC發(fā)布后不久，Jang收到了一封來自微軟旗下GitHub的電子郵件，稱PoC因違反可接受使用政策而被下架。GitHub表示，他們下架PoC是為了保護(hù)可能被漏洞襲擊的設(shè)備。

GitHub表示，“PoC攻擊程序的公開及傳播對安全社群而言具有教育及研究價值，而該平臺的目標(biāo)則是兼顧該價值與整個生態(tài)系統(tǒng)統(tǒng)的安全，且其政策禁止用戶傳播正被積極開采之漏洞的攻擊程序?！?

新漏洞已成為腳本小子的囊中之物

CERT/CC的漏洞分析師Will Dorman在微軟的Exchange服務(wù)器上測試了這個漏洞，證實它只需要稍作修改就可以生效。

他警告稱，該漏洞已經(jīng)在 "腳本小子 "攻擊范圍內(nèi)了。

從下圖中可以看到，Dorman對微軟Exchange服務(wù)器使用了該漏洞，遠(yuǎn)程安裝了一個web shell，并執(zhí)行了 "whoami "命令。

Dorman分享的另一張圖片顯示，該漏洞在服務(wù)器的指定位置丟棄了test11.aspx Web shell。

NVISO高級分析師、SANS ISC高級處理員Didier Stevens也對微軟Exchange虛擬機測試了該漏洞，但在PoC上并沒有那么幸運。

Stevens表示，他針對未打補丁和未更新的Exchange 2016測試了PoC程序。不過，如果不調(diào)整一些活動目錄設(shè)置PoC還是無法生效。

然而，Stevens表示，本周末發(fā)布的PoC中的新信息使他能夠讓Jang公布的PoC程序工作，以實現(xiàn)對其Microsoft Exchange服務(wù)器的遠(yuǎn)程代碼執(zhí)行成功。

Stevens也同意Dorman的評估，新的PoC中披露的信息將使腳本小子更容易創(chuàng)建一個有效的ProxyLogon漏洞。

8萬臺Exchange服務(wù)器仍存在漏洞

根據(jù)Palo Alto Networks的研究，互聯(lián)網(wǎng)上大約有8萬臺易受攻擊的Microsoft Exchange服務(wù)器暴露在互聯(lián)網(wǎng)上。

“根據(jù)3月8日和11日進(jìn)行的Expanse互聯(lián)網(wǎng)掃描，運行舊版本Exchange、無法直接應(yīng)用最近發(fā)布的安全補丁的服務(wù)器數(shù)量，從預(yù)計的12.5萬臺下降到8萬臺，下降了30%以上?！?

微軟則表示，即使易受攻擊的服務(wù)器數(shù)量大幅下降，但仍有許多服務(wù)器需要打補丁。

“根據(jù)RiskIQ的遙測，我們在3月1日看到了近40萬臺Exchange服務(wù)器存在漏洞。到3月9日，仍有10萬多臺服務(wù)器存在漏洞。這個數(shù)字一直在穩(wěn)步下降，目前只剩下大約8.2萬臺需要更新?！蔽④浽谝黄┛椭斜硎?。

這些服務(wù)器中，有很多是舊版本，沒有可用的安全更新。但在3月11日，微軟為舊版本服務(wù)器發(fā)布了額外的安全更新版本，如今可以覆蓋95%的暴露在網(wǎng)絡(luò)中的服務(wù)器。