2020/9/23  

⊙戴夫寇爾首席資安研究員Orange Tsai：回報微軟Exchange郵件伺服器漏洞，登入後可以遠端可執行攻擊程式（RCE），編號CVE-2020-17117

2020/10/1 

⊙Orange Tsai：深入研究微軟Exchange伺服器漏洞，希望找出可以躲過認證的遠端 可執行攻擊程式（RCE）

2020/11月初 

DomainTool觀察到有利用SSRF漏洞的攻擊流量（ DomainTool在2021/3/10公開發文）

2020/12/8 

⊙微軟修復戴夫寇爾通報的，登入後可以遠端執行攻擊程式（RCE）漏洞，編號CVE-2020-17117

2020/12/10 

⊙戴夫寇爾：發現SSRF（Server Side Request Forgery，伺服器請求偽造）漏洞，編號CVE-2021-26855

2020/12/27 

⊙戴夫寇爾：找到SSRF繞過認證的方式，編號CVE-2021-26855

2020/12/30 

⊙戴夫寇爾發現需登入的任意寫入檔案漏洞（Post-Authentication Arbitrary File Write），編號CVE-2021-27065

2020/12/31 

⊙戴夫寇爾寫出串接編號CVE-2021-26855和編號CVE-2021-27065漏洞，可以遠端執行攻擊（RCE）的一鍵擊殺PoC攻擊程式Exploit

2021/1月初 

 FireEye Mandiant觀察到，有網軍利用Exchange漏洞發動攻擊（FireEye在2021/3/4發文公開）

2021/1/3 

Volexity觀察到，網路間諜利用編號CVE-2021-26855發動SSRF第一波mail dumping的攻擊（Volexity在2021/3/8部落格發文更正攻擊時間）

2021/1/5 

⊙戴夫寇爾回報微軟SSRF（編號CVE-2021-26855）和任意寫檔漏洞（編號CVE-2021-27065），並附上完整的PoC攻擊程式

⊙Orange Tsai推特發表：Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported! Hope there is no bug collision or duplicate

2021/1/6  

⊙微軟MSRC回覆戴夫寇爾，已經收到通報的2個漏洞資訊，微軟案號MSRC case 62899和MSRC case 63835

2021/1/8  

⊙微軟回信給戴夫寇爾，確認編號CVE-2021-26855和編號CVE-2021-27065漏洞是嚴重的風險

2021/1/11  

⊙戴夫寇爾詢問微軟，希望在120天提供漏洞修補程式，之後，戴夫寇爾才會公開相關技術細節；順便詢問有沒有其他研究者找到類似的攻擊手法

2021/1/12 

⊙微軟回信給戴夫寇爾，確認將在120天內提供修補程式

⊙微軟確認，戴夫寇爾目前是唯一通報相關漏洞的通報者，沒有撞洞

2021/1/18 

荷蘭資安業者Dubex觀察到，駭客利用反序列化漏洞（漏洞編號CVE-2021-26857）針對用戶端Exchange郵件伺服器發動攻擊

2021/1/25 

⊙戴夫寇爾註冊ProxyLogon網站，用來說明Exchange漏洞

2021/1/27 

荷蘭資安業者Dubex通報微軟，有駭客利用Exchange新漏洞發動攻擊

2021/2/2 

⊙戴夫寇爾寫信詢問微軟修補程式進度

⊙微軟MSRC當天回信給戴夫寇爾，將修補程式拆分成幾個部分進行檢視中，確定可以在120天完成漏洞修補

Volexity警告微軟有駭客集團利用Exchange未知漏洞發動攻擊

2021/2/8 

微軟回報Dubex，微軟內部升級他們通報的漏洞

2021/2/12 

⊙微軟主動寫信詢問，漏洞發現者要怎麼註明，並詢問戴夫寇爾是否會在修補程式發布後，對外公開更多細節的技術部落格

2021/2/13 

⊙戴夫寇爾回覆，因為這個漏洞很嚴重，為了讓企業有更多修補時間，會在微軟釋出修補程式後二週，才在技術部落格公開更多技術細節，會公布ProxyLogon網站

2021/2/18 

⊙戴夫寇爾詢問編號CVE-2021-26855和編號CVE-2021-27065漏洞修補時間為3/9，並提供ProxyLogon網站草稿請微軟提供建議

微軟跟戴夫寇爾確認，將於3/9釋出Exchange修補程式

2021/2/23 

微軟針對MAPP（主動防禦計畫）的64家防毒、IDP與IPS業者，依據和微軟合作程度深淺，最早於今日提供Exchange漏洞技術細節及PoC攻擊工具；最晚則是修補程式釋出前5小時拿到相關資訊

2021/2/26 

1、KrebsOnSecurity報導，有駭客開始無差別、大規模利用Exchange漏洞發動攻擊

2、Fireeye認為，第二波攻擊始於2/26，與一月份中國網軍針對式攻擊模式不同，可能是未經授權的駭客組織發動大規模攻擊（FireEye CEO Kevin Mandia於3/9受訪時表示）

2021/2/27～2/28 

多家資安公司觀察到，有大量攻擊微軟Exchange郵件伺服器的攻擊流量

2021/2/27 

⊙微軟回信，將於三月份第二個星期二（3/9）釋出漏洞修補程式，也會同步撰寫更多技術細節部落格，解釋漏洞的風險，並徵求戴夫寇爾同意，能否在技術部落格中提及戴夫寇爾

2021/2/28 

⊙戴夫寇爾同意微軟可以提及該公司的建議

 華爾街日報報導，網路上出現第二波Exchange攻擊流量

2021/3/2 

⊙戴夫寇爾收到2封信，第一封信正式告知，必須提早釋出漏洞修補程式，來不及撰寫技術部落格，同時告知戴夫寇爾揭露洞漏的編號為：CVE-2021-26855和CVE-2021-27065，微軟希望在他們公布修補程式之前，不要在推特或其他地方提到相關資訊；第二封信則在第一封信的半小時後，告知可以公開ProxyLogon網站

1、微軟提前修補4個微軟Exchange郵件伺服器零時差漏洞：

A、漏洞編號CVE-2021-26855—免認證的SSRF（Server Side Request Forgery，伺服器請求偽造漏洞），是這次核心漏洞

B、漏洞編號CVE-2021-26857—身分驗證後，可以以SYSTEM身份執行任意指令

C、漏洞編號CVE-2021-26858—身份驗證後，可以執行檔案任意寫入的漏洞，攻擊者可以利用該漏洞，將內容寫入受害系統的任何可訪問部分

D、漏洞編號CVE-2021-27065—身份驗證後，可以執行檔案任意寫入的漏洞

2、微軟修補的版本為：微軟Exchange 2013年、2016年和2019年版

3、微軟資安威脅情資中心（MSTIC）宣稱，中國網軍Hafnium，已利用相關漏洞攻擊本地部署的Exchange系統，鎖定攻擊非政府組織（NGOs）

2021/3/3～3/5 

⊙戴夫寇爾為了自清，並沒有遭駭或外洩攻擊工具，3/3開始進行內部調查，確認各種研究存取和相關電腦與系統的安全性，並委請第三方資安公司提供工具，進行內部電腦清查，確認沒有遭到駭客入侵或存在任何惡意程式，並於3/5完成調查

2021/3/3  

國土安全部CISA發布微軟Exchange漏洞有關的緊急指令21-02，作為政府機關漏洞修復具體指引

2021/3/4 

1、白宮國家安全顧問Jack Sulivan推特表示，儘速修補微軟Exchange郵件伺服器漏洞很重要，且要偵測該郵件伺服器是否已經遭駭

2、微軟資安威脅情資中心（MSTIC）釋出可以偵測中國Hafnium駭客集團的腳本程式

3、FireEye部落格發文指出，在三月初的Exchange攻擊事件中，發現China Chopper的WebShell片段

4、中國資安研究員在推特公開串連微軟漏洞編號CVE-2021-26855和CVE-2021-27065的PoC攻擊工具

2021/3/5 

⊙Orange在推特表示：「I know there are lots of people waiting for the recent Microsoft Exchange pre-auth RCE on our side. This is a short advisory and detailed timeline. https://proxylogon.com」正式對外公開ProxyLogon網站

⊙確認在外流傳的第二波Exchange一鍵擊殺攻擊程式與戴夫寇爾提供給微軟的攻擊程式，相似度極高

1、微軟資安回應中心（MSRC）釋出Exchange郵件伺服器漏洞修補指南

2、白宮新聞秘書Jen Psaki在現場簡報中，關注攻擊規模大小

3、KrebsOnSecurity 部落格宣稱，美國有超過3萬家企業、被成千上萬個駭客入侵企業的Exchange郵件伺服器，並被安裝後門程式

2021/3/6 

美國CISA發現，國內外廣泛利用微軟Exchange漏洞，要求微軟提供IOC檢測工具，並掃描Exchange郵件伺服器日誌確認損害範圍

2021/3/7 

微軟針對Exchange伺服器零時差漏洞釋出惡意web shell偵測工具，整合在Windows安全工具Microsoft Safety Scanner（MSERT）中

2021/3/9 

微軟宣稱，全球仍有10萬臺～40萬臺Exchange郵件伺服器還沒有修補漏洞

2021/3/10 

1、資安研究員MalwareTech在Github公布微軟Exchange漏洞的PoC攻擊程式，隨後遭到微軟的刪除

2、資安公司ESET表示，至少有10個APT組織正在利用微軟Exchange漏洞發動攻擊

2021/3/11 

⊙ 微軟寫信詢問戴夫寇爾，希望戴夫寇爾晚點公布相關技術部落格，公布時間「越晚越好」

RiskIQ發文表示，全球剩下82,731臺Exchange郵件伺服器還沒有完成漏洞修補

2021/3/12 

⊙ Orange Tsai推特表示：「The exploit in later Feb looks like the same, the exploited path is similar (/ecp/<single char>.js) and the webshell password is "orange" (I hardcoded in the exploit…)」

ID Ransomware網站主持人資安研究員安全研究人員Michael Gillespie收到Exchange郵件伺服器遭到勒索軟體感染樣本DearCry，受駭者來自美國、澳洲和加拿大等地

2021/3/15 

微軟釋出微軟Exchange漏洞的一鍵緩解工具（EOMT），可以緩解因漏洞編號CVE-2021-26855漏洞帶來的安全威脅，並且可以清楚由已知威脅所造成的變更

2021/3/16 

RiskIQ發文表示，全球剩下69,548臺Exchange郵件伺服器還沒有完成漏洞修補

＠資料來源：iThome整理，2021年3月

新聞全文：【全球獨家】專訪戴夫寇爾首席資安研究員Orange Tsai：微軟Exchange漏洞研究與通報歷程大公開