Khi sử dụng lỗ hổng SSRF để truy cập vào các entrypoint của Exchange, thì đều bị xử lý như 1 yêu cầu Un-Authenticated.
Qua mỗi lần tấn công, đều có một request tới “/ecp/proxyLogon.ecp”. Sau đó, các request tới ECP đều được thực hiện với quyền của người dùng “Administrator@mailbox”.
Dựa vào web.config trong folder “C:/Program Files/Microsoft/Exchange Server/V15/ClientAccess/ecp”, có thể xác định được class “Microsoft.Exchange.Management.ControlPanel.ProxyLogonHandler” đang handle các request tới entrypoint /ecp/proxyLogon.ecp.
Nội dung của class này khá đơn giản. Sau khi “Ctrl + Shift + F”, request đã được xử lý tại “Microsoft.Exchange.Management.ControlPanel .RbacSettings()”.
Đoạn xử lý này có thể hiểu đơn giản như sau:
Bước 1: Server sẽ lấy phần body của request tạo thành SerializedAccessToken(), sau đó tạo được phần body thỏa mãn có dạng:
Bước 2: Dựa vào serialized token vừa tạo, server tiếp tục dùng nó để tạo thành định danh cho request hiện tại.
Ngoài ra cần thỏa mãn thêm một số tham số đầu vào, nếu thuận lợi thì server sẽ trả về cookie: ASP.NET_SessionId và msExchEcpCanary, dùng để xác thực cho user vừa request.
Có thể hiểu đơn giản hơn như sau:
Như vậy đã có được session id và canary, tiếp theo cần thay vào request SSRF write file ban đầu để thực thi.
Tuy nhiên, bước này sẽ hiển thị thông báo "You don't have permission....".
Với SID sử dụng để proxylogon - S-1–5–21–1525789613–2932220202–353317642–3102, đây là SID của một user bình thường và không có đặc quyền với Exchange admin. SID của admin so với SID của người dùng thông thường không có sự khác biệt đáng kể, việc khác biệt được hiển thị ở ID cuối.
- SID của user john: S-1–5–21–1525789613–2932220202–353317642–3102
- SID của admin: S-1-5-21-1525789613-2932220202-353317642-500
Như vậy hoàn toàn có thể sử dụng một SID bất kỳ trong hệ thống để tìm được tài khoản administrator và chiếm quyền qua proxylogon.
Cùng với đó, cần một SID hợp lệ của user bất kỳ trong hệ thống để leo thang đặc quyền. Để lấy được SID khi chỉ biết mỗi username, tin tặc cần phải sử dụng tới các entrypoint: /autodiscover/autodiscover.xml và /mapi/emsmdb
Tính năng tại entrypoint /mapi sẽ trả về SID khi xảy ra lỗi.
Phần input body của request có thể lấy bằng cách sử dụng entrypoint /Autodiscover/autodiscover.xml:
Như vậy là đã hoàn thành bước cuối cùng cho chain RCE của proxylogon. Quá trình khai thác được tóm tắt lại như sơ đồ dưới đây.
Hiện nay, nhiều POC về 4 lỗ hổng nghiêm trọng trên Microsoft Exchange đã được các nhà nghiên cứu công khai trên Internet. Nếu khai thác thành công các lỗ hổng, tin tặc có thể chèn và thực thi lệnh trái phép, từ đó kiểm soát máy chủ thư điện tử và đánh cắp dữ liệu trên hệ thống. Quản trị viên và người dùng cần khẩn trương khắc phục lỗi và cập nhật bản vá Microsoft Exchange sớm nhất có thể, để bảo vệ hệ thống trước nguy cơ mất an toàn thông tin.
Nguyễn Tiến Giang (VNPT)
09:00 | 11/03/2021
11:00 | 07/05/2021
16:00 | 04/03/2021
21:00 | 07/03/2021
09:00 | 24/01/2025
Các nhà nghiên cứu bảo mật đã phát hiện một mã khai thác (Proof of Concept - PoC) lừa đảo đối với lỗ hổng CVE-2024-49113 (hay còn gọi là LDAPNightmare) trên GitHub lây nhiễm phần mềm độc hại đánh cắp thông tin cho người dùng, từ đó đánh cắp dữ liệu nhạy cảm sang máy chủ FTP bên ngoài.
12:00 | 14/01/2025
Hiệp hội thời tiết Nhật Bản (JWA) ngày 09/1 thông báo, tổ chức này đã bị tấn công mạng và tạm thời khiến website thông tin mà tổ chức này vận hành không thể truy cập được.
13:00 | 03/01/2025
Ít nhất 5 tiện ích mở rộng của Chrome đã bị xâm phạm trong một cuộc tấn công mạng tinh vi, trong đó kẻ tấn công đã chèn mã đánh cắp thông tin nhạy cảm của người dùng.
13:00 | 03/12/2024
Chuyên gia bảo mật Jan Michael Alcantara của nhà cung cấp giải pháp an ninh mạng Netskope (Mỹ) cho biết, họ đã phát hiện ra một biến thể mới của mã độc NodeStealer đang tấn công các tài khoản Facebook Ads Manager.
Mông Cổ, Đài Loan, Myanmar, Việt Nam và Campuchia đang là mục tiêu của nhóm tin tặc RedDelta có liên hệ với Trung Quốc nhằm triển khai phiên bản tùy chỉnh của backdoor PlugX trong khoảng thời gian từ tháng 7/2023 đến tháng 12/2024.
22:00 | 25/01/2025