内网渗透(八十七)之Exchange ProxyShell攻击利用链

Exchange ProxyShell 攻击利用链

漏洞背景

2021年4月份，在Pwn2Oun 黑客大赛上，来自中国台湾地区的安全研究员Orange Tsai 利用 Exchange 最新漏洞 ProxyShell 攻击链成功攻破了微软旗下的Exchange邮箱服务器，并因此夺得20万美元大奖。但是当时Orange Tsai 并未公布 ProxyShell 攻击链漏洞利用详情。同时，微软发布了针对ProxyShell 攻击利用链的安全补丁更新。在之后的8月份举办的2021 BlackHat 大会上，Orange Tsai针对ProxyShell攻击链进行了详细分析讲解。

未经身份验证的攻击者能够利用ProxyShell 攻击链攻击目标Exchange服务器，从而获得Exchange 邮箱服务器的最高权限。ProxyShell 包含如下3个漏洞。

• CVE-2021-34473：预认证路径混淆导致ACL绕过造成的SSRF漏洞，2021年4月微软已经发布安全补丁更新。
• CVE-2021-34523：Exchange PowerShell 后端的提权漏洞，2021年4月份微软已经发布安全补丁更新。
• CVE-2021-31027：利用任意文件写入漏洞导致远程代码执行漏洞，2021年5月份微软已经发布安全补丁更新。

漏洞原理

整个ProxyShell攻击链的流程如下：利用SSRF漏洞，以管理员身份认证PowerShell接口，然后利用Exchange PowerShell接口将指定用户加入Mailbox Import Export 角色组中。此时，攻击者构造恶意的邮件发送给指定的用户，再利用Mailbox Import Export 中的New-M