Khi sử dụng lỗ hổng SSRF để truy cập vào các entrypoint của Exchange, thì đều bị xử lý như 1 yêu cầu Un-Authenticated.
Qua mỗi lần tấn công, đều có một request tới “/ecp/proxyLogon.ecp”. Sau đó, các request tới ECP đều được thực hiện với quyền của người dùng “Administrator@mailbox”.
Dựa vào web.config trong folder “C:/Program Files/Microsoft/Exchange Server/V15/ClientAccess/ecp”, có thể xác định được class “Microsoft.Exchange.Management.ControlPanel.ProxyLogonHandler” đang handle các request tới entrypoint /ecp/proxyLogon.ecp.
Nội dung của class này khá đơn giản. Sau khi “Ctrl + Shift + F”, request đã được xử lý tại “Microsoft.Exchange.Management.ControlPanel .RbacSettings()”.
Đoạn xử lý này có thể hiểu đơn giản như sau:
Bước 1: Server sẽ lấy phần body của request tạo thành SerializedAccessToken(), sau đó tạo được phần body thỏa mãn có dạng:
Bước 2: Dựa vào serialized token vừa tạo, server tiếp tục dùng nó để tạo thành định danh cho request hiện tại.
Ngoài ra cần thỏa mãn thêm một số tham số đầu vào, nếu thuận lợi thì server sẽ trả về cookie: ASP.NET_SessionId và msExchEcpCanary, dùng để xác thực cho user vừa request.
Có thể hiểu đơn giản hơn như sau:
Như vậy đã có được session id và canary, tiếp theo cần thay vào request SSRF write file ban đầu để thực thi.
Tuy nhiên, bước này sẽ hiển thị thông báo "You don't have permission....".
Với SID sử dụng để proxylogon - S-1–5–21–1525789613–2932220202–353317642–3102, đây là SID của một user bình thường và không có đặc quyền với Exchange admin. SID của admin so với SID của người dùng thông thường không có sự khác biệt đáng kể, việc khác biệt được hiển thị ở ID cuối.
- SID của user john: S-1–5–21–1525789613–2932220202–353317642–3102
- SID của admin: S-1-5-21-1525789613-2932220202-353317642-500
Như vậy hoàn toàn có thể sử dụng một SID bất kỳ trong hệ thống để tìm được tài khoản administrator và chiếm quyền qua proxylogon.
Cùng với đó, cần một SID hợp lệ của user bất kỳ trong hệ thống để leo thang đặc quyền. Để lấy được SID khi chỉ biết mỗi username, tin tặc cần phải sử dụng tới các entrypoint: /autodiscover/autodiscover.xml và /mapi/emsmdb
Tính năng tại entrypoint /mapi sẽ trả về SID khi xảy ra lỗi.
Phần input body của request có thể lấy bằng cách sử dụng entrypoint /Autodiscover/autodiscover.xml:
Như vậy là đã hoàn thành bước cuối cùng cho chain RCE của proxylogon. Quá trình khai thác được tóm tắt lại như sơ đồ dưới đây.
Hiện nay, nhiều POC về 4 lỗ hổng nghiêm trọng trên Microsoft Exchange đã được các nhà nghiên cứu công khai trên Internet. Nếu khai thác thành công các lỗ hổng, tin tặc có thể chèn và thực thi lệnh trái phép, từ đó kiểm soát máy chủ thư điện tử và đánh cắp dữ liệu trên hệ thống. Quản trị viên và người dùng cần khẩn trương khắc phục lỗi và cập nhật bản vá Microsoft Exchange sớm nhất có thể, để bảo vệ hệ thống trước nguy cơ mất an toàn thông tin.
Nguyễn Tiến Giang (VNPT)
09:00 | 11/03/2021
11:00 | 07/05/2021
16:00 | 04/03/2021
21:00 | 07/03/2021
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
10:00 | 13/03/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024