【BlackHat】速修复！有人正在扫描 Exchange 服务器寻找 ProxyShell 漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

ProxyShell 是三个漏洞的统称，它们可被组合用于在微软 Exchange 服务器上执行未认证的远程代码。攻击者可通过在IIS 中端口443 运行的微软 Exchange Client Access Service (CAS) 远程组合利用这些漏洞：

奇怪的是，虽然CVE-2021-34473和CVE-2021-34523首先在7月份披露，但实际上它们早在4月份微软 Exchange KB5001779 累积更新中已修复。这些漏洞是由Devcore 公司的首席安全研究员 Orange Tsai 发现的，他所在的团队因在四月举办的Pwn2Own 黑客大赛中对这些漏洞进行利用而获得20万美元的奖励。

上周四，Orange Tsai 在黑客大会上公布了自己在微软 Exchange Client Service (CAS) 攻击面上找到的微软Exchange 漏洞。他解释称，ProxyShell 攻击链中的一个组件针对的是Exchange Autodiscover 服务。微软引入该服务的目的是使邮件客户端软件能够轻松自动配置最小的用户输入。

看到 Orange Tsai 的演讲后，安全研究员 PeterJson 和 Jang 发布文章，提供了成功复现 ProxyShell exploit 的技术信息。

本周，安全研究员 Kevin Beaumont 指出，某威胁者正在攻击其微软 Exchange 蜜罐，针对的是服务器的 Autodiscover 服务。虽然最初尝试并不成功，但昨晚获悉该漏洞的更多详情后，攻击者更改了扫描，使用了Tsai 公布的新的 Autodiscover URL。

该URL 使得威胁行动者成功地检测到一个易受攻击的系统，因为它出发了 ASP.NET web应用的编译。

Jang 表示访问该URL将导致 ASP.NET 工作者进程 (w3wp.exeexe) 编译 web 应用。

Beaumont 建议管理员使用 Azure Sentinel 检查 IIS 日志中是否存在 "/autodiscover/autodiscover.json" 或  "/mapi/nspi/" 字符串。

如结果列出了目标 Autodiscover URL，则证明攻击者正在扫描服务器中的漏洞。虽然目前攻击者的扫描成功率较低，但在野实现成功利用只是时间问题。强烈建议微软 Exchange 管理员安装最新累积更新，保护自身免受攻击。

ProxyShell 漏洞的补丁已发布，攻击将很快出现，就像三月份 ProxyLogon 攻击导致的勒索攻击、恶意软件和数据被盗等。

Orange Tsai 指出，目前互联网上暴露了40万台微软 Exchange 服务器。

微软尚未就此事置评。