Microsoft Exchange Server 漏洞现在可用于 BEC 攻击

11月19日 ，darkreading网站发布了《Microsoft Exchange Server 漏洞现在可用于BEC攻击》（作者贾维贾扬），现在此作部分摘译，以供读者参考。

研究人员表示，攻击者还在部署 ProxyShell 并以更隐蔽的方式滥用漏洞。

计算机屏幕上的 Exchange 服务器徽标（图片来源：darkreading）

威胁行为者正在使用一些危险的新策略来利用微软今年早些时候修补的本地 Exchange服务器中的 ProxyShell漏洞集——并且是7月份广泛攻击的目标。

在最近的多个事件响应活动中，曼迪昂特（Mandiant）研究人员发现，攻击者滥用ProxyShell， 使用不同于之前攻击且更难检测的方式，将Web shell投放到易受攻击的系统上。在某些攻击中，攻击者完全跳过Web shell，创建自己的隐藏的特权邮箱，使他们能够接管帐户并制造其他问题。

曼迪昂特说，多达30,000 台面向Internet的Exchange Server仍然易于受到这些攻击，因为它们尚未打补丁。

ProxyShell 101

ProxyShell是Exchange Server中的一组三个漏洞：CVE-2021-34473，一个不需要用户操作或特权即可利用的关键远程代码执行漏洞；CVE-2021-34523，身份验证后提权漏洞；和CVE-2021-31207，一个中等严重性的身份验证后缺陷，使攻击者能够获得对易受攻击系统的管理访问权限。这些漏洞存在于Exchange Server 2013、2016和2019的多个版本中。

微软在4月和5月修补了这些漏洞，但直到7月才分配CVE或披露补丁。8 月，美国网络安全和基础设施安全局(CISA)警告说，攻击者将这三个漏洞链接在一起，以利用易受攻击的Exchange服务器。

安全供应商报告称，攻击者主要利用这些漏洞在Exchange Server上部署 Web shell，以便在未来的攻击中使用。Huntress Labs的一项分析发现，攻击者部署的最常见的Web shell是 XSL Transform。其他常见的Web shell包括加密反射程序集加载器、“不安全”关键字的注释分离和混淆、Jscript Base64 编码和字符类型转换以及任意文件上传器。

曼迪昂特事件响应团队的顾问约书亚·戈达德（Joshua Goddard）表示，利用ProxyShell的攻击者最初是通过邮箱导出请求投放 Web shell。“这些Web shell可用于远程访问 Exchange服务器并进一步危害组织，例如将勒索软件部署到设备上。”他说。

但是防病毒及端点检测和响应(EDR)供应商很快就为通过邮箱导出创建的 Web shell构建检测。戈达德说，这很可能促使攻击者寻找新的途径来利用尚未针对ProxyShell打补丁的Exchange Server系统。

攻击者现在使用的策略是从证书存储中导出Web shell。

“通过这种方式创建的Web shell与邮箱导出创建的Web shell的文件结构不同，因此攻击者在此方面取得了一些成功，因为并非所有安全工具都具有适当的检测功能。”戈达德指出。

曼迪昂特研究人员还观察到ProxyShell攻击中，威胁行为者没有部署 Web shell，而是创建了从地址列表中隐藏的高特权邮箱。他们将这些邮箱权限分配给其他帐户，然后通过Web客户端登录以浏览或窃取数据。

“这是策略上最重大的改变，”戈达德说，“攻击者正在使用ProxyShell漏洞，通过与Exchange服务进行独占接口，而不是与托管它们的操作系统进行交互，从而实现业务电子邮件入侵[BEC]，”就像丢弃Webs hell一样。他警告说，拥有这种访问权限的攻击者可能会使用受害组织的电子邮件基础设施对其他实体发起网络钓鱼攻击。由于没有恶意文件被丢弃到磁盘，组织检测这些攻击变得更加困难。

Exchange Server 缺陷接连不断

微软今年也遇到了 Exchange Server 缺陷问题。

最引人注目的是在 3 月份，当时该公司不得不针对该技术中的四个漏洞（统称为ProxyLogon）紧急发布紧急补丁。

9月，趋势科技的研究人员报告发现了ProxyToken，这是另一个Exchange Server 漏洞，攻击者可以通过该漏洞复制目标电子邮件或将其转发到攻击者控制的帐户。全年，微软披露了其他不同严重程度的 Exchange Server 漏洞，包括该公司在11 月安全更新中解决的零日威胁( CVE-2021-42321 )。

戈达德表示，在 30,000 个易受 ProxyShell 攻击的系统中，至少有一些可能是蜜罐；但很多都不是。

“早期修补的组织可能是安全的，但尚未修补且其服务器面向 Internet 的组织面临巨大风险，”他警告说，自漏洞披露以来任何时间都没有打补丁的组织应该对服务器上的任何未知文件、邮箱帐户和邮箱权限进行审查；组织需要在更改窗口之外检测和验证新创建的文件，并了解其 Exchange 基础架构的配置更改，这些更改应该与定义的更改请求相关联。

曼迪昂特相关报道

11 月 17 日，曼迪昂特的文章称，2021年9月，曼迪昂特曾发文，内容涉及广泛利用本地 Microsoft Exchange Server中的三个漏洞：CVE-2021-34473、 CVE-2021-34523、CVE-2021-31207（统称为 ProxyShell）。尽管披露发生在2021年4月并且补丁在4月和5月发布，但曼迪昂特直到2021 年11月才继续应对因利用这些漏洞而造成的危害，并估计仍有多达30,000 台面向互联网的易受攻击的服务器存在。

在最近的几次事件响应活动中，曼迪昂特观察到威胁参与者以不同于先前报告的方式利用漏洞。最值得注意的是，通过导出exchange证书请求（而不是邮箱导出）写入web shell，以及利用漏洞利用链中的前两个漏洞只是为了实现远程PowerShell并创建新邮箱，将其权限分配给其他邮箱，然后通过Outlook web access（OWA）访问这些邮箱。曼迪昂特报告了这些策略的变化，因为之前发布的检测和响应指南专门针对源自邮箱导出的web shell。

具有 ProxyShell 漏洞的攻击路径

成功利用ProxyShell漏洞链的第二阶段后，威胁参与者可以在启用远程PowerShell的目标用户（尤其是具有管理权限的用户）的上下文中通过远程PowerShell执行任何Microsoft Exchange PowerShell cmdlet。默认情况下，在Microsoft Exchange中为用户启用远程PowerShell。

在攻击的第二个阶段，Mandiant观察到威胁参与者采取了三种攻击路径中的一种，这三种攻击路径可导致web shell或邮箱访问，虽然可以执行任何可用的Exchange PowerShell cmdlet，从而为威胁参与者提供了完整的Exchange管理功能。图1提供了这些路径的概述。

（攻击路径 图片来源：曼迪昂特）

曼迪昂特观察到针对源自这些攻击路径的目标采取多种行动，包括浏览电子邮件项目以及部署后利用工具和勒索软件。

据广泛报道，实现web shell的攻击路径是通过Exchange web服务器（EWS）在目标邮箱中创建项目，曼迪昂特发现该项目是带有编码附件的草稿电子邮件项目，随后通过New-MailboxExportRequest cmdlet导出该项目（在分配邮箱导入/导出权限后）。由于附件在导出为PST文件格式时被解码，因此使用精心编制的附件写入邮箱项目会导致一个功能性web shell。

自2021年9月以来，曼迪昂特观察到威胁参与者使用新的ExchangeCertificate cmdlet通过系统证书存储在证书请求中保存web shell代码。web shell代码提供给“SubjectName”参数，并以“RequestFile”参数指定的路径保存到磁盘。在具有证书请求扩展名（.aspx.req）的磁盘上观察到通过这种方式编写的Web shell。下图提供了为实现此目的而执行的cmdlet示例。

（用于编写 Web shell 的 New-ExchangeCertificate cmdlet 图片来源：曼迪昂特）

曼迪昂特已经通过在Windows注册表的系统证书存储中搜索 Web Shell代码来识别先前的妥协证据，这些代码在PowerShell日志滚动后仍然存在。

（证书存储中证书请求的注册表项 图片来源：曼迪昂特）

创建新邮箱并分配访问其他邮箱的权限

自 2021 年 8 月以来，曼迪昂特 观察到威胁行为者通过 New-Mailbox cmdlet 创建新邮箱，然后通过 Add-RoleGroupMember cmdlet 分配特权角色，或使用 Add-MailboxPermission cmdlet 明确分配对其他邮箱的完全访问权限。在某些情况下，曼迪昂特 还观察到威胁行为者通过执行 Set-Mailbox cmdlet 将这些新创建的邮箱从 Exchange 地址列表中隐藏，并将参数“HiddenFromAddressListsEnabled”设置为 True。

曼迪昂特观察到攻击者控制的邮箱被用来通过Outlook Web Access (OWA) 访问其他邮箱。通过参与者设置新邮箱的邮箱凭据，他们也可以通过环境中配置的其他方式进行访问，例如通过电子邮件客户端，但曼迪昂特没有直接观察到通过这种方式访问。

在未配置Exchange分权限（Active Directory拆分权限模型）的配置中，曼迪昂特观察到New-Mailbox cmdlet在Active Directory中创建用户对象。如果发生这种情况，威胁行为者可能通过使用域身份验证的更广泛的域或服务进行身份验证，例如企业VPN、文件共享平台、软件开发平台或知识管理应用程序。曼迪昂特 没有通过这种方式直接观察到访问。

（来源：Darkreading、mandiant等。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。侵删）