微軟上周公布修補遭到駭客攻擊的Exchange Server漏洞,全球恐有數萬個組織受害!來自台灣的 DEVCORE(戴夫寇爾)做為最早揭露此零日漏洞的團隊,其研究人員於1 月 5 日即通報微軟存在於Exchange Server 的安全漏洞,編號命名為「CVE-2021-26855 」及「CVE-2021-27065」(DEVCORE 團隊稱其為「ProxyLogon」)。
DEVCORE 是世界級攻擊型資安公司,觀察到全球企業普遍使用微軟生態系執行日常業務,若遭受駭客攻擊,將造成用戶機敏資料外洩並導致極大損失。因此於去年 10 月開始針對世界知名的郵件伺服器 Microsoft Exchange Server 進行漏洞研究,並於 12 月取得初步成果,領先全球率先發現並通報給微軟,其安全回應中心網站也致謝發現漏洞的 DEVCORE 首席資安研究員暨研究組組長蔡政達(Orange Tsai)。
2021年 1 月 5 日第一時間通報微軟
DEVCORE 團隊致力於研究攻擊技術及戰略,鑽研各類型攻擊手法,此次揭露的「ProxyLogon」為重大的「無需驗證的遠端程式碼執行(Pre-Auth Remote Code Execution; Pre-Auth RCE)零日漏洞(Zero-day exploit),讓攻擊者得以繞過身份驗證步驟,驅使系統管理員協助執行惡意文件或執行指令,進而觸發更廣泛的攻擊。ProxyLogon 是微軟近期被揭露最重大的 RCE 漏洞之一,DEVCORE 遵循責任揭露(Responsible Disclosure)原則, 發現後於 2021年 1 月 5 日第一時間通報微軟進行相關修補,以避免該漏洞遭有心人士利用,造成全球用戶重大損失。
微軟遂於 3 月 2 日針對相關漏洞釋出安全更新並進行修補,避免用戶的機敏資訊遭受惡意攻擊。蔡政達(Orange Tsai )指出,「DEVCORE 團隊在 2019 年時就已發布了許多有關遠端程式碼的研究,引發許多討論,美國國家安全局等單位更對此向企業示警,然而這些遠端程式碼仍然被全球許多惡意攻擊者所利用。此次執行 ProxyLogon 研究項目,便是希望提高企業組織的安全意識,防範因存在漏洞而遭到進階持續性滲透攻擊(Advanced Persistent Threat;APT),或是被國際駭客組織所突破。」
DEVCORE 具備高度道德及技術能量 助全球迎戰與時俱進的駭客攻擊
DEVCORE 主要提供具駭客思維的紅隊演練、滲透測試及顧問服務,實質檢測企業組織的資安防禦,進而提升其資安體質。DEVCORE 研究團隊過去曾揭露 Amazon、Facebook、Twitter、GitHub 與 Uber 等國際企業的遠端程式碼執行漏洞(RCE vulnerabilities);除此之外,團隊亦曾深入研究包含 Exim 及 Dovecot 等郵件相關解決方案,豐富的實戰經驗奠定此次領先全球揭露微軟 Exchange Server 的基礎。
DEVCORE 執行長翁浩正表示,「DEVCORE 由世界級白帽駭客團隊創立,擁有具備高度道德及技術能量的團隊,持續遵循責任揭露原則,發現企業的漏洞後,及時示警其盡速修補,協助全球企業與組織迎戰與時俱進的攻擊型態,抵禦不斷變化的威脅。」
漏洞影響層面
CVE-2021-26855 源自於 Exchange Server 2013 對用戶存取服務架構上的重大改變;而較早版本的 Exchange Server 2010 已於 2020 年 10 月終止服務。因此目前所有主要的 Exchange Server 都暴露在攻擊面中,其中包含:
Exchange Server 2019 < 15.02.0792.010
Exchange Server 2019 < 15.02.0721.013
Exchange Server 2016 < 15.01.2106.013
Exchange Server 2013 < 15.00.1497.012
DEVCORE 漏洞研究及通報時程
2020 年 12 月 10 日:DEVCORE 發現微軟的無需驗證的代理漏洞(CVE-2021-26855)
2020 年 12 月 30 日:DEVCORE 發現微軟的任意檔案寫入漏洞(CVE-2021-27065)
2020 年 12 月 31 日:DEVCORE 串聯相關漏洞組成一個無需驗證遠端程式碼執行漏洞
2021 年 1 月 5 日:DEVCORE 向微軟安全回應中心通報漏洞
2021 年 1 月 6 日:微軟安全回應中心確認知悉上述之漏洞(MSRC 案 62899及 63835)
2021 年 1 月 8 日:微軟安全回應中心確認上述漏洞
2021 年 3 月 3 日:微軟安全回應中心發布安全公告及修補更新
2021 年 3 月 3 日:Volexity 發佈已有國際級駭客使用這些漏洞進行攻擊,DEVCORE 第一時間進行地毯式內部調查
2021 年 3 月 4 日:DEVCORE 確認遭國際級駭客濫用的漏洞與通報微軟的相同
2021 年 3 月 5 日:DEVCORE 內部調查至今並未發現任何問題
相關新聞:
微軟Microsoft Exchange Server存在安全漏洞,速更新!、
美國CISA針對微軟 Exchange 嚴重漏洞發布緊急修補命令