漏洞研究,並於上周公布修補遭到駭客攻擊的 Exchange Server 漏洞,全球恐有數萬個組織受害!DEVCORE(戴夫寇爾)就是最早揭露此零日漏洞的團隊,研究人員於 1 月 5 日通報微軟存在於 Exchange Server 的安全漏洞,編號命名為 「CVE-2021-26855 」及「CVE-2021-27065」(DEVCORE 團隊稱其為「ProxyLogon」)。
協防全球資安!DEVCORE 率先發現並通報 Microsoft Exchange Server 存在漏洞 DEVCORE 團隊致力於研究攻擊技術及戰略,鑽研各類型攻擊手法,此次揭露的「ProxyLogon」為重大的「無需驗證的遠端程式碼執行(Pre-Auth Remote Code Execution; Pre-Auth RCE)零日漏洞(Zero-day exploit),讓攻擊者得以繞過身份驗證步驟,驅使系統管理員協助執行惡意文件或執行指令,進而觸發更廣泛的攻擊。ProxyLogon 是微軟近期被揭露最重大的 RCE 漏洞之一,DEVCORE 遵循責任揭露(Responsible Disclosure)原則, 發現後於 2021 年 1 月 5 日第一時間通報微軟進行相關修補,以避免該漏洞遭有心人士利用,造成全球用戶重大損失。
微軟遂於 3 月 2 日針對相關漏洞釋出安全更新並進行修補,避免用戶的機敏資訊遭受惡意攻擊。蔡政達(Orange Tsai )指出,「DEVCORE 團隊在 2019 年時就已發布了許多有關遠端程式碼的研究,引發許多討論,美國國家安全局等單位更對此向企業示警,然而這些遠端程式碼仍然被全球許多惡意攻擊者所利用。此次執行 ProxyLogon 研究項目,便是希望提高企業組織的安全意識,防範因存在漏洞而遭到進階持續性滲透攻擊(Advanced Persistent Threat;APT),或是被國際駭客組織所突破。」
DEVCORE 主要提供具駭客思維的紅隊演練、滲透測試及顧問服務,實質檢測企業組織的資安防禦,進而提升其資安體質。DEVCORE 研究團隊過去曾揭露 Amazon、Facebook、Twitter、GitHub 與 Uber 等國際企業的遠端程式碼執行漏洞(RCE vulnerabilities);除此之外,團隊亦曾深入研究包含 Exim 及 Dovecot 等郵件相關解決方案,豐富的實戰經驗奠定此次領先全球揭露微軟 Exchange Server 的基礎。
DEVCORE 執行長翁浩正表示,「DEVCORE 由世界級白帽駭客團隊創立,擁有具備高度道德及技術能量的團隊,持續遵循責任揭露原則,發現企業的漏洞後,及時示警其盡速修補,協助全球企業與組織迎戰與時俱進的攻擊型態,抵禦不斷變化的威脅。」
CVE-2021-26855 源自於 Exchange Server 2013 對用戶存取服務架構上的重大改變;而較早版本的 Exchange Server 2010 已於 2020 年 10 月終止服務。
因此目前所有主要的 Exchange Server 都暴露在攻擊面中,其中包含:
● Exchange Server 2019 < 15.02.0792.010
● Exchange Server 2019 < 15.02.0721.013
● Exchange Server 2016 < 15.01.2106.013
● Exchange Server 2013 < 15.00.1497.012 DEVCORE 漏洞研究及通報時程
● 2020 年 12 月 10 日:DEVCORE 發現微軟的無需驗證的代理漏洞(CVE-2021-26855)
● 2020 年 12 月 30 日:DEVCORE 發現微軟的任意檔案寫入漏洞(CVE-2021-27065)
● 2020 年 12 月 31 日:DEVCORE 串聯相關漏洞組成一個無需驗證遠端程式碼執行漏洞
● 2021 年 1 月 5 日:DEVCORE 向微軟安全回應中心通報漏洞
● 2021 年 1 月 6 日:微軟安全回應中心確認知悉上述之漏洞(MSRC 案 62899 及 63835)
● 2021 年 1 月 8 日:微軟安全回應中心確認上述漏洞
● 2021 年 3 月 3 日:微軟安全回應中心發布安全公告及修補更新
● 2021 年 3 月 3 日:Volexity 發佈已有國際級駭客使用這些漏洞進行攻擊,DEVCORE 第一時間進行地毯式內部調查
● 2021 年 3 月 4 日:DEVCORE 確認遭國際級駭客濫用的漏洞與通報微軟的相同
● 2021 年 3 月 5 日:DEVCORE 內部調查至今並未發現任何問題