圖片來源: 

iThome整理製表

2020/9/23  

⊙戴夫寇爾首席資安研究員Orange Tsai:回報微軟Exchange郵件伺服器漏洞,登入後可以遠端可執行攻擊程式(RCE),編號CVE-2020-17117

2020/10/1 

⊙Orange Tsai:深入研究微軟Exchange伺服器漏洞,希望找出可以躲過認證的遠端 可執行攻擊程式(RCE)

2020/11月初 

DomainTool觀察到有利用SSRF漏洞的攻擊流量( DomainTool在2021/3/10公開發文

2020/12/8 

微軟修復戴夫寇爾通報的,登入後可以遠端執行攻擊程式(RCE)漏洞,編號CVE-2020-17117

2020/12/10 

戴夫寇爾:發現SSRF(Server Side Request Forgery,伺服器請求偽造)漏洞,編號CVE-2021-26855

2020/12/27 

戴夫寇爾:找到SSRF繞過認證的方式,編號CVE-2021-26855

2020/12/30 

戴夫寇爾發現需登入的任意寫入檔案漏洞(Post-Authentication Arbitrary File Write),編號CVE-2021-27065

2020/12/31 

戴夫寇爾寫出串接編號CVE-2021-26855和編號CVE-2021-27065漏洞,可以遠端執行攻擊(RCE)的一鍵擊殺PoC攻擊程式Exploit

2021/1月初 

 FireEye Mandiant觀察到,有網軍利用Exchange漏洞發動攻擊(FireEye在2021/3/4發文公開

2021/1/3 

Volexity觀察到,網路間諜利用編號CVE-2021-26855發動SSRF第一波mail dumping的攻擊(Volexity在2021/3/8部落格發文更正攻擊時間

2021/1/5 

戴夫寇爾回報微軟SSRF(編號CVE-2021-26855)和任意寫檔漏洞(編號CVE-2021-27065),並附上完整的PoC攻擊程式

Orange Tsai推特發表:Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported! Hope there is no bug collision or duplicate

2021/1/6  

微軟MSRC回覆戴夫寇爾,已經收到通報的2個漏洞資訊,微軟案號MSRC case 62899和MSRC case 63835

2021/1/8  

微軟回信給戴夫寇爾,確認編號CVE-2021-26855和編號CVE-2021-27065漏洞是嚴重的風險

2021/1/11  

戴夫寇爾詢問微軟,希望在120天提供漏洞修補程式,之後,戴夫寇爾才會公開相關技術細節;順便詢問有沒有其他研究者找到類似的攻擊手法

2021/1/12 

微軟回信給戴夫寇爾,確認將在120天內提供修補程式

微軟確認,戴夫寇爾目前是唯一通報相關漏洞的通報者,沒有撞洞

2021/1/18 

荷蘭資安業者Dubex觀察到,駭客利用反序列化漏洞(漏洞編號CVE-2021-26857)針對用戶端Exchange郵件伺服器發動攻擊

2021/1/25 

戴夫寇爾註冊ProxyLogon網站,用來說明Exchange漏洞

2021/1/27 

荷蘭資安業者Dubex通報微軟,有駭客利用Exchange新漏洞發動攻擊

2021/2/2 

戴夫寇爾寫信詢問微軟修補程式進度

微軟MSRC當天回信給戴夫寇爾,將修補程式拆分成幾個部分進行檢視中,確定可以在120天完成漏洞修補

Volexity警告微軟有駭客集團利用Exchange未知漏洞發動攻擊

2021/2/8 

微軟回報Dubex,微軟內部升級他們通報的漏洞

2021/2/12 

微軟主動寫信詢問,漏洞發現者要怎麼註明,並詢問戴夫寇爾是否會在修補程式發布後,對外公開更多細節的技術部落格

2021/2/13 

戴夫寇爾回覆,因為這個漏洞很嚴重,為了讓企業有更多修補時間,會在微軟釋出修補程式後二週,才在技術部落格公開更多技術細節,會公布ProxyLogon網站

2021/2/18 

戴夫寇爾詢問編號CVE-2021-26855和編號CVE-2021-27065漏洞修補時間為3/9,並提供ProxyLogon網站草稿請微軟提供建議

微軟跟戴夫寇爾確認,將於3/9釋出Exchange修補程式

2021/2/23 

微軟針對MAPP(主動防禦計畫)的64家防毒、IDP與IPS業者,依據和微軟合作程度深淺,最早於今日提供Exchange漏洞技術細節及PoC攻擊工具;最晚則是修補程式釋出前5小時拿到相關資訊

2021/2/26 

1、KrebsOnSecurity報導,有駭客開始無差別、大規模利用Exchange漏洞發動攻擊

2、Fireeye認為,第二波攻擊始於2/26,與一月份中國網軍針對式攻擊模式不同,可能是未經授權的駭客組織發動大規模攻擊(FireEye CEO Kevin Mandia於3/9受訪時表示

2021/2/27~2/28 

多家資安公司觀察到,有大量攻擊微軟Exchange郵件伺服器的攻擊流量

2021/2/27 

微軟回信,將於三月份第二個星期二(3/9)釋出漏洞修補程式,也會同步撰寫更多技術細節部落格,解釋漏洞的風險,並徵求戴夫寇爾同意,能否在技術部落格中提及戴夫寇爾

2021/2/28 

戴夫寇爾同意微軟可以提及該公司的建議

 華爾街日報報導,網路上出現第二波Exchange攻擊流量

2021/3/2 

戴夫寇爾收到2封信,第一封信正式告知,必須提早釋出漏洞修補程式,來不及撰寫技術部落格,同時告知戴夫寇爾揭露洞漏的編號為:CVE-2021-26855和CVE-2021-27065,微軟希望在他們公布修補程式之前,不要在推特或其他地方提到相關資訊;第二封信則在第一封信的半小時後,告知可以公開ProxyLogon網站

1、微軟提前修補4個微軟Exchange郵件伺服器零時差漏洞:

A、漏洞編號CVE-2021-26855—免認證的SSRF(Server Side Request Forgery,伺服器請求偽造漏洞),是這次核心漏洞

B、漏洞編號CVE-2021-26857—身分驗證後,可以以SYSTEM身份執行任意指令

C、漏洞編號CVE-2021-26858—身份驗證後,可以執行檔案任意寫入的漏洞,攻擊者可以利用該漏洞,將內容寫入受害系統的任何可訪問部分

D、漏洞編號CVE-2021-27065—身份驗證後,可以執行檔案任意寫入的漏洞

2、微軟修補的版本為:微軟Exchange 2013年、2016年和2019年版

3、微軟資安威脅情資中心(MSTIC)宣稱,中國網軍Hafnium,已利用相關漏洞攻擊本地部署的Exchange系統,鎖定攻擊非政府組織(NGOs)

2021/3/3~3/5 

戴夫寇爾為了自清,並沒有遭駭或外洩攻擊工具,3/3開始進行內部調查,確認各種研究存取和相關電腦與系統的安全性,並委請第三方資安公司提供工具,進行內部電腦清查,確認沒有遭到駭客入侵或存在任何惡意程式,並於3/5完成調查

2021/3/3  

國土安全部CISA發布微軟Exchange漏洞有關的緊急指令21-02,作為政府機關漏洞修復具體指引

2021/3/4 

1、白宮國家安全顧問Jack Sulivan推特表示,儘速修補微軟Exchange郵件伺服器漏洞很重要,且要偵測該郵件伺服器是否已經遭駭

2、微軟資安威脅情資中心(MSTIC)釋出可以偵測中國Hafnium駭客集團的腳本程式

3、FireEye部落格發文指出,在三月初的Exchange攻擊事件中,發現China Chopper的WebShell片段

4、中國資安研究員在推特公開串連微軟漏洞編號CVE-2021-26855和CVE-2021-27065的PoC攻擊工具

2021/3/5 

Orange在推特表示:「I know there are lots of people waiting for the recent Microsoft Exchange pre-auth RCE on our side. This is a short advisory and detailed timeline. https://proxylogon.com」正式對外公開ProxyLogon網站

確認在外流傳的第二波Exchange一鍵擊殺攻擊程式與戴夫寇爾提供給微軟的攻擊程式,相似度極高

1、微軟資安回應中心(MSRC)釋出Exchange郵件伺服器漏洞修補指南

2、白宮新聞秘書Jen Psaki在現場簡報中,關注攻擊規模大小

3、KrebsOnSecurity 部落格宣稱,美國有超過3萬家企業、被成千上萬個駭客入侵企業的Exchange郵件伺服器,並被安裝後門程式

2021/3/6 

美國CISA發現,國內外廣泛利用微軟Exchange漏洞,要求微軟提供IOC檢測工具,並掃描Exchange郵件伺服器日誌確認損害範圍

2021/3/7 

微軟針對Exchange伺服器零時差漏洞釋出惡意web shell偵測工具,整合在Windows安全工具Microsoft Safety Scanner(MSERT)中

2021/3/9 

微軟宣稱,全球仍有10萬臺~40萬臺Exchange郵件伺服器還沒有修補漏洞

2021/3/10 

1、資安研究員MalwareTech在Github公布微軟Exchange漏洞的PoC攻擊程式,隨後遭到微軟的刪除

2、資安公司ESET表示,至少有10個APT組織正在利用微軟Exchange漏洞發動攻擊

2021/3/11 

微軟寫信詢問戴夫寇爾,希望戴夫寇爾晚點公布相關技術部落格,公布時間「越晚越好」

RiskIQ發文表示,全球剩下82,731臺Exchange郵件伺服器還沒有完成漏洞修補

2021/3/12 

 Orange Tsai推特表示:「The exploit in later Feb looks like the same, the exploited path is similar (/ecp/<single char>.js) and the webshell password is "orange" (I hardcoded in the exploit…)」

ID Ransomware網站主持人資安研究員安全研究人員Michael Gillespie收到Exchange郵件伺服器遭到勒索軟體感染樣本DearCry,受駭者來自美國、澳洲和加拿大等地

2021/3/15 

微軟釋出微軟Exchange漏洞的一鍵緩解工具(EOMT),可以緩解因漏洞編號CVE-2021-26855漏洞帶來的安全威脅,並且可以清楚由已知威脅所造成的變更

2021/3/16 

RiskIQ發文表示,全球剩下69,548臺Exchange郵件伺服器還沒有完成漏洞修補

@資料來源:iThome整理,2021年3月

 

新聞全文:【全球獨家】專訪戴夫寇爾首席資安研究員Orange Tsai:微軟Exchange漏洞研究與通報歷程大公開


熱門新聞

Advertisement