粉絲團
台灣資安廠〈DEVCORE戴夫寇爾〉 首席資安研究員暨研究組組長蔡政達(Orange Tsai,右)與DEVCORE 共同創辦人暨紅隊組組長許復凱(Shaolin),現身說明挖出Microsoft Exchange Server零日漏洞始末。(記者陳炳宏攝)
微軟誌謝官網,仍顯示對DEVCORE與Orange Tsai回報的CVE-2021-26855、CVE-2021-27065兩漏洞感謝。(記者陳炳宏翻攝)
〔記者陳炳宏/台北報導〕曾多次在世界駭客大會(DEFCON)進行專題演講獲肯定,台灣資安廠DEVCORE戴夫寇爾首席資安研究員蔡政達(Orange Tsai),今年3月初因挖出微軟郵件伺服器軟體Exchange零日漏洞,獲微軟公開致謝,不過DEVCORE概念性攻擊程式(PoC Exploit)隨即成為中國駭客攻擊全球工具,資深國際資安顧問李先生表示,以其專業白帽駭客背景,應不至犯下這種錯誤。
在高二時代就開始對於資安漏洞挖掘產生興趣,當初覺得當駭客很酷,也回報過各大社群平台知名漏洞,Orange表示,因找漏洞很有趣而投入資安工作,對於能夠找黑帽(壞)駭客利用漏洞搞破壞前就能回報阻止,協助維護全球資安(拯救世界)感到很有成就感。「每天除睡覺外,都在電腦前挖洞(找漏洞)」,Orange說,DEVCORE的紅隊(敵軍)攻防演練成員們,可利用研究團隊的發現和成果強化「駭客思維」,更能真實模擬客戶可能遇到的攻擊情境。
在2019年帶領DEVCORE團隊,代表台灣首度拿下駭客界奧斯卡「Pwnie Awards」獎中的「年度最佳伺服器漏洞」(Pwnie for Best Server-Side Bug)獎項,為何對於微軟Exchange Server漏洞產生興趣?Orange表示,Microsoft Exchange是全球使用者人數眾多的電子郵件系統之一,若遭受真正的駭客攻擊,恐造成企業機敏資料外洩並導致極大損失。團隊過去也研究包含Exim及Dovecot等郵件軟體的豐富經驗,所以決定先研究企業常用的Microsoft Exchange,盼強化全球資安意識,預防可能發生的攻擊與損失。
Orange表示,DEVCORE研究團隊,從2020年10月開始,花了2個多月研究,在2020年12月10日發現第一個的漏洞CVE-2021-26855,「第一個的漏洞CVE-2021-26855,是伺服器端請求偽造(SSRF)漏洞,在2013年的Exchange版本就有了,我們評估是中度風險的漏洞」,由於該漏洞在 Microsoft Exchange 處理流程中,仍屬非常前期階段,Orange也好奇為什麼沒有其他研究單位發現此漏洞,一度擔心回報後恐避不了撞洞(與別人回報的漏洞相同,猶如穿相同衣服「撞衫」)。
之後團隊在2020年12月30日發現第二個漏洞CVE-2021-27065,並在12月31日將兩個漏洞串聯,組成一個漏洞PoC Exploit(概念驗證攻擊程式),可直接進入企業內網。並命名為ProxyLogon重大「無需驗證的遠端程式碼執行(Pre-Auth Remote Code Execution; Pre-Auth RCE)零日漏洞,最重要的是,光是寫出來的概念驗證攻擊程序(Zero-day PoC exploit),就可讓攻擊者不用帳號密碼就可在受駭伺服器直接使用管理員身分,執行任何惡意文件或指令,進而觸發更廣泛的攻擊。
Orange強調,「這是駭客最想要得到的權限」,ProxyLogon 也是微軟近期被揭露最重大的 RCE 漏洞之一,但與經常被媒體報導的有些駭客會因此到處炫耀作法不同,DEVCORE遵循駭客責任揭露(Responsible Disclosure)原則, 並於2021年1月5日第一時間通報微軟進行相關修補,以免該漏洞遭有心人士利用,造成全球用戶重大損失。之後也在1月8日獲微軟回信認證該回報有效並開始處理。
Orange說,自己過去並不太對微軟產品有興趣,高中後十餘年沒碰過,去年才開始再研究,漏洞挖掘一開始是在二進位(binary) 上記憶體類型的漏洞(memory corruption )著手,遲遲沒有斬獲,接著才開始用自己最熟悉的尋找網頁類型(web) 漏洞切入。
「因為當初交付給微軟的RCE漏洞,是透過一鍵即可擊發的Exploit PoC概念攻擊程序展示Orange坦言,自己直覺是使用最熟悉常用的網路代碼「Orange」當密碼,直接在微軟安全回應中心系統回報,也心想應該不會有第三者會看到,所以沒特別設限。沒想到在2月下旬出現的大批Exchange伺服器零時差攻擊,「Orange」居然出現在駭客惡意攻擊封包中,儘管DEVCORE在3月2日立即進行內部徹底清查,但並無外洩跡象,Orange說道,「被誤解確實很無奈,希望能儘速找出外洩執行源碼的缺口」。
Orange說,後來才發現,其實中國網軍在今年1月就開始針對這次發現的零時差漏洞展開緩慢且低調的SSRF攻擊,其中同樣被微軟致謝的資安公司Volexity,在其3月2日部落格發文中,更明確指出在1月3日就已經觀察到有利用SSRF漏洞攻擊的流量,以及二月底另外一波更大規模針對Exchange伺服器的攻擊。「我們解析後發現,2月底的駭客攻擊,是拿近乎相同於DEVCORE PoC工具,不設隱藏到處攻擊,與1月中國網軍攻擊手法、工具都完全不同。」
不過針對後來「Orange」成為2月底中國駭客攻擊Exchange 伺服器的重要關鍵密碼,甚至外媒一度推測,微軟2008年推出的「主動防禦計畫(Microsoft Active Protections Program,MAPP)」中,有數十家資安防毒與IPS和IDS資安設備業者,可提前拿到漏洞相關資訊,以利早一步開發對應解決方案,資安顧問李先生也懷疑,「與合作夥伴共享情報,的確有可能以某種方式引發攻擊,先前2012年就曾發生過,遠端桌面協議漏洞的PoC工具外洩,後來微軟官方也坦承疏失,當時也將相關中國廠商除名」。
DEVCORE 共同創辦人暨紅隊組組長許復凱(Shaolin)認為,Volexity在宣稱2月初就已經回報漏洞相關訊息給微軟,但DEVCORE直到2月底與微軟確認漏洞修補程式是否將於3月釋出時,以及確認DEVCORE將成立「ProxyLogon」漏洞資訊網站,微軟都沒有提及Exploit PoC攻擊程序外洩一事,直到2月底美國多個政府機構遭受攻擊後,微軟提前釋出修補程式,但至今仍無跡象顯示微軟對DEVCORE提供的漏洞修補資訊有外洩疑慮。
Orange也表示,自己針對微軟Exchange撰寫的攻擊程序,一直到去年12月底才完成,但資安業者DomainTools於今年3月10日發部落格表示,去年11月就曾觀察到有某駭客組織,已利用微軟Exchange的SSRF漏洞發動攻擊。因此,大膽推測,今年1月通報微軟的SSRF漏洞,早就被其他駭客組織或是網軍手中掌握,「如果我們沒有回報給微軟,駭客早就拿來攻打全世界Exchange主機、看遍所有用戶的信件內容,所以我們DEVCORE真的救了全世界!」
而根據從Palo Alto Networks Expanse平台收集的遙測數據,估計全世界到3月16日,仍有超過125,000台未修補漏洞的Exchange Servers運行,其中台灣偵測到的,約有950個Exchange Server零時差漏洞威脅。建議所有用戶都應立即更新。
一手掌握經濟脈動 點我訂閱自由財經Youtube頻道
不用抽 不用搶 現在用APP看新聞 保證天天中獎 點我下載APP 按我看活動辦法
