内网渗透(八十七)之Exchange ProxyShell攻击利用链
Exchange ProxyShell 攻击利用链
漏洞背景
2021年4月份,在Pwn2Oun 黑客大赛上,来自中国台湾地区的安全研究员Orange Tsai 利用 Exchange 最新漏洞 ProxyShell 攻击链成功攻破了微软旗下的Exchange邮箱服务器,并因此夺得20万美元大奖。但是当时Orange Tsai 并未公布 ProxyShell 攻击链漏洞利用详情。同时,微软发布了针对ProxyShell 攻击利用链的安全补丁更新。在之后的8月份举办的2021 BlackHat 大会上,Orange Tsai针对ProxyShell攻击链进行了详细分析讲解。
未经身份验证的攻击者能够利用ProxyShell 攻击链攻击目标Exchange服务器,从而获得Exchange 邮箱服务器的最高权限。ProxyShell 包含如下3个漏洞。
- CVE-2021-34473:预认证路径混淆导致ACL绕过造成的SSRF漏洞,2021年4月微软已经发布安全补丁更新。
- CVE-2021-34523:Exchange PowerShell 后端的提权漏洞,2021年4月份微软已经发布安全补丁更新。
- CVE-2021-31027:利用任意文件写入漏洞导致远程代码执行漏洞,2021年5月份微软已经发布安全补丁更新。
漏洞原理
整个ProxyShell攻击链的流程如下:利用SSRF漏洞,以管理员身份认证PowerShell接口,然后利用Exchange PowerShell接口将指定用户加入Mailbox Import Export 角色组中。此时,攻击者构造恶意的邮件发送给指定的用户,再利用Mailbox Import Export 中的New-M