ProxyShell.

ProxyShell 是研究员 Orange Tsai(DEVCORE)在 Pwn2Own 2021 上演示、并在 Black Hat USA 上详细披露的一条由三个 Microsoft Exchange Server 漏洞组成的利用链。该链条将 Client Access Service 在处理 Autodiscover 时的一个预认证路径混淆/SSRF 缺陷(CVE-2021-34473)、Exchange PowerShell 后端的一个权限提升缺陷(CVE-2021-34523),以及通过 PowerShell 导出邮箱功能实现的认证后任意文件写入(CVE-2021-31207)串联在一起。

该利用之所以可行,是因为 Exchange 前端使用具有强大权限的 NT AUTHORITY\SYSTEM 机器上下文将请求代理到后端端点。攻击者通过偷渡一个精心构造的 Autodiscover URL,以特权用户身份抵达 PowerShell 后端,铸造一个提升后的令牌,然后利用邮箱导出将一个包含 web shell 的 PST 文件写入互联网可访问的目录——从而把三个"较低危害"的漏洞变成未认证的 SYSTEM 远程代码执行。令人困惑的是,CVE-2021-34473 与 CVE-2021-34523 在 2021 年 4 月的累积更新中已被悄然修复,而公告直到 7 月才出现,因此许多管理员并未意识到自己受到影响。

大规模扫描与 .aspx web shell 的部署在 2021 年 8 月公告发布后数日内即开始;LockFile 和 Conti 勒索软件借此获得初始访问。防御措施:安装 2021 年的累积更新、启用 Exchange Emergency Mitigation Service、排查意外出现的 web shell,并假定本地 Exchange 的入侵早于打补丁的时间。

flowchart TD
  A[未认证攻击者] --> B[构造的 Autodiscover URL<br/>CVE-2021-34473 路径混淆/SSRF]
  B --> C[前端以 NT AUTHORITY/SYSTEM<br/>身份代理至后端]
  C --> D[抵达 Exchange PowerShell 后端<br/>CVE-2021-34523 权限提升]
  D --> E[New-MailboxExportRequest<br/>CVE-2021-31207 任意文件写入]
  E --> F[将 .aspx web shell 写入<br/>Web 可访问路径]
  F --> G[以 SYSTEM 身份远程代码执行]
  G --> H[勒索软件 / 横向移动]