【全球独家】专访戴夫寇尔首席资安研究员Orange Tsai：微软Exchange漏洞研究与通报历程大公开

在2年前，曾经拿下资安圈漏洞奥斯卡奖Pwnie Awards“最佳服务器漏洞奖”戴夫寇尔首席资安研究员Orange Tsai（蔡政达），漏洞通报记录不胜枚举，后来因为针对企业常用的SSL VPN进行漏洞研究与通报，更是在全球资安圈声名大噪。

不过，在今年3月2日却发生让Orange Tsai错愕不已的事情。那就是，他在今年一月跟微软通报的2个Exchange漏洞，微软原订在3月9日对外释出修补程式，却突然提前一周，在3月2日便紧急释出修补程式。原来是因为，在2月26日到2月28日，这个周五下班后到周末这段期间，全球各地发生许多利用微软Exchange漏洞发动攻击的资安事件。

电子邮件服务器已经是许多企业对外沟通联系的主要命脉，当骇客透过Exchange漏洞的攻击程式，可以轻易窥视并偷取企业的电子邮件，更严重者，甚至可能影响企业的生存。因此，这也迫使微软不得不提前一周，对外释出4个Exchange零时差漏洞的修补程式。

Orange Tsai除了对微软提前一周释出修补程式感到错愕，更让他不解的事情则是：这个针对微软Exchange邮件服务器的攻击程式，究竟从何而来？经历各种搜寻后发现，这个在外面流传的攻击程式，为什么和他提供给微软的攻击程式，相似度如此之高？

甚至于，还有许多对于资安漏洞研究与通报流程不清楚的大众媒体，在没有与当事人确认的情况下，将发现并通报漏洞的研究者，视为对全世界Exchange服务器发动恶意攻击的黑帽骇客，更让他承受无比巨大的压力。

“包括公司主管和我在内，大家已经有一个多礼拜没有办法好好睡一觉，每天大概只有睡3、4个钟头，睡醒第一件事情就是，看看有没有人在推特标注他，或是有没有人发信给他，询问关于Exchange漏洞的任何疑问，就必须尽速的回应对方。”他说道。

“对一个白帽骇客而言，可以沉浸在纯技术的领域中，就是最大的快乐。”Orange Tsai在接受iThome专访时表示，对他而言，漏洞挖掘这件事：找到漏洞、通报原厂等待修补后、再分享漏洞挖掘的过程，一方面可以拯救世界，另一方面，也可以帮助这些厂商，提升产品或服务的安全性，甚至在分享漏洞挖掘思维的过程，还能同时回馈到整个资安社群。因此，对Orange Tsai来说，挖掘漏洞就是最有趣的工作。

关注企业产品安全性，Exchange漏洞研究历程从2020年9月开始展开

Orange Tsai过往漏洞通报对象相当广泛，囊括Twitter、Facebook、Amazon等多个国际大厂，也曾经在黑帽大会及DEF CON资安会议发表研究──连续三年，他都以创新的骇客思维，找到不同漏洞的串连方式，对于他如何想到这样的漏洞串连方式，与会者都啧啧称奇。他更凭著自己漏洞研究的专长，成为另类的台湾之光。另外，从2014年开始，台湾HITCON战队首度有资格出国参加DEF CON CTF比赛迄今，他更是HITCON战队中的当然成员之一。

以往，Orange Tsai的漏洞研究，主要是针对各个业者提供的漏洞奖励计划（Bug Bounty Program），去挖掘产品或服务的漏洞，而通报原厂后，他就可以拿到一笔奖金，而这样的漏洞挖掘过程相对单纯，因为，提出漏洞奖励计划的业者，对于白帽骇客通报的漏洞都会高度重视，也乐意尽快修补漏洞，同时可以形成一个正向的循环。

不过，当Orange Tsai漏洞研究的领域开始转向企业使用的产品后发现，这些企业经常使用的产品和服务，因为影响范围更深远，对企业使用者带来的帮助更直接，他和同事Meh针对三个国际知名大厂的SSL VPN产品进行的漏洞研究，就是最好的例子。

当他将漏洞研究领域逐渐转到企业产品时，开始对企业都会使用的电子邮件服务感到兴趣，毕竟，每一台邮件服务器的背后，就有一间以上的企业；加上，电子邮件已经是所有企业标准且正式的对外沟通管道，而微软的Exchange更是最常见的邮件服务器之一。于是，他也开始将漏洞研究范围，转向微软Exchange邮件服务器。

在2020年9月，Orange Tsai首度向微软通报Exchange邮件服务器，有个登入后可远端执行攻击程式（RCE）的漏洞（漏洞编号CVE-2020-17117），之后，他就在思考，企业最常使用的微软Exchange邮件服务器，是否有其他可以绕过身份验证的RCE漏洞呢？

他设身处地想着：如果恶意的黑帽骇客或是-在背后支持的网军，可以找到绕过身份验证并且远端执行攻击程式的漏洞的话，那么，这些入侵企业的骇客或网军，就可以如入无人之境般的任意窥视并窃取企业内外部沟通的所有邮件内容，而只要企业或组织的机敏邮件遭到外泄，对企业或组织甚至可能产生生存危机。

因为对漏洞技术研究，抱持着这么一点好奇与强大的热情，Orange Tsai从2020年10月份开始，便针对Exchange邮件服务器进行更深入的研究，除了要阅读大量的文件资料与各式各样的会议论文，也必须要能从研究者、使用者与骇客等不同角度切入，模拟思考使用者从Exchange服务器登入到收发邮件的过程中，有没有哪一个脆弱环节会让骇客有可趁之机，借此堂而皇之地入侵Exchange邮件服务器呢？

Orange Tsai想着，编号CVE-2020-17117漏洞，是一个必须要先登入、经过身份验证，才能够执行攻击程式的漏洞，而要怎么找到免登入、让使用者可以躲过Exchange邮件服务器身份认证的RCE漏洞，就是他研究的目标。

串连免验证SSRF及任意写档漏洞，写出一键击杀PoC攻击工具

历经两个多月的研究，他在12月10日发现1个SSRF（Server-Side Request Forgery，服务器端请求伪造攻击）漏洞，就是利用存在缺陷的Web应用，代理攻击远端和本地端的服务器。但重点是，SSRF的攻击要可以绕过身份验证，Orange Tsai绕过身份验证的这个研究目标，一直到12月27日才成功达标，这个漏洞通报微软后，微软将之漏洞编号CVE-2021-26855。

找到绕过身份验证的方式后，再找其他的漏洞就相对简单，他在12月30日便找到另外一个需登入进行身份验证的任意写入档案漏洞（Post-Authentication Arbitrary File Write），漏洞编号CVE-2021-27065。

有了两个好用的漏洞，对白帽骇客而言，就是必须从攻击的角度出发，串连不同漏洞、达到偷取Exchange邮件的目的，所以，Orange Tsai便在12月31日，这个民众纷纷外出跨年的同时，遵循业界的标准流程，写好串连CVE-2021-26855漏洞和CVE-2021-27065漏洞的PoC（概念验证）攻击程式（Exploit），这个攻击程式好用之处在于，只需要点击一个按键，就可以达到一键击杀的效果。因为只是为了要验证漏洞可用，他也在攻击程式中，写死密码orange，便在完成相关的英文报告与相关技术细节后，连同攻击程式，一并在今年1月5日，将漏洞通报给微软安全回应中心（MSRC），微软也在1月8日，确认Orange Tsai通报的两个漏洞编号。

因为使用微软Exchange邮件服务器的使用者太多、影响范围甚大，Orange Tsai和微软MSRC信件往返的过程中，甚至将业界90天完成漏洞修补惯例，延长为120天，戴夫寇尔更表示，会在微软释出漏洞修补程式后二周，才会对外公开相关的技术细节。

许多零时差漏洞是掌握在骇客与网军手中，不会向原厂通报

由于，零时差漏洞对于许多国家级网军而言，就是具有强大威力的网络军火，而这些国家级网军最大的目的，就是想要低调潜伏在企业中偷资料。因此，这些网军即便手中拥有各家产品的零时差漏洞，为了便利网军可以顺利入侵并潜伏在企业中，这些漏洞都不会对外公开、也不会通报原厂进行漏洞修复。有些时候，我们也可以发现，有一些被视为重大的资安威胁、存在十多年才进行修复的漏洞，因此，外界根本不得而知，在过去漏洞未修补的期间，究竟如何被有心人士利用。

最明显的例子就是，像是2016年在网络上出现的影子掮客（The Shadow Brokers）骇客组织，在网络上公布多个零时差漏洞，包括美国国家安全局（NSA）针对企业防火墙、防毒软件，以及微软产品等所拥有的漏洞。

影子掮客在2016年对外公布的、美国NSA使用的永恒之蓝攻击程式，就是利用微软未修补的SMB零时差漏洞；曾经在2017年5月，对全球电脑使用者造成严重资安威胁的勒索软件Wannacry，就是利用微软针对SMB零时差漏洞发动攻击。

因此，Orange Tsai在与微软信件往返中，也想确认是否有其他类似的漏洞通报者。微软在1月12日回信表示，当时，戴夫寇尔是唯一的漏洞通报者，但他也深知，没有向微软通报的漏洞，不表示这个漏洞不存在，也有可能是掌握在其他骇客或网军手中，对于“撞洞”的可能性，他也不会轻忽。

二月底，骇客针对Exchange漏洞发动第二波攻击

微软一直到2月27日回信的内容中，都仍确定会如期在原订的3月9日定期更新的时间点，释出Exchange漏洞修补程式。不过，2月27日到28日周末时间，全球资安公司观察到许多针对微软Exchange的攻击流量，相较有其他资安公司在一月初，便观察到针对Exchange的攻击流量，这波二月底的攻击，则视为第二波攻击。这次的攻击，也打乱了微软漏洞修补程式的进度。

Orange Tsai在3月2日睡醒后，收到微软寄来的两封信件，第一封信正式告知，微软必须提早释出Exchange邮件服务器漏洞修补程式，来不及撰写技术部落格，同时告知戴夫寇尔揭露的漏洞编号为：CVE-2021-26855和CVE-2021-27065，而且，微软希望在他们公布修补程式之前，不要在推特或其他地方提到相关资讯。

第二封信则在第一封信的半小时后寄到戴夫寇尔手上，微软正式向他们告知，可以公开相关建议文章或网站，也就是戴夫寇尔针对Exchange漏洞成立的ProxyLogon网站。

包括Orange Tsai在内，戴夫寇尔的同仁在和其他国内外资安研究员私下讨论与联系的过程中，共通的疑问都是，造成这波全球恐慌的Exchange攻击程式，到底从何而来？这个网络流传的攻击程式，类似Orange Tsai在1月5日提供给微软、验证串接编号CVE-2021-26855和CVE-2021-27065微软漏洞可行的攻击程式。

为了自清，戴夫寇尔也在3月3日，全面清查内部所有储存系统和个人电脑的Log（登录档），确认是否有异常登入现象；也和第三方资安业者合作，请他们提供工具，再针对内部个人电脑与储存系统查验是否有异常情况。在3月5日完成全面清查后，戴夫寇尔确认该公司储存系统和个人电脑都没有任何遭骇的迹象。

面对外界有媒体传言，微软将调查戴夫寇尔是否遭骇一事，戴夫寇尔首席执行官翁浩正也正式提出澄清。他说，与微软互动中，微软并没有提及任何要调查该公司是否遭骇一事，微软做的，只有感谢Orange Tsai，因为他可以找到影响深远的Exchange邮件服务器漏洞，并愿意通报微软进行漏洞修复。

面对相关传言，翁浩正坦言，甚至已经有平日合作的企业伙伴，看到台湾媒体的报导后，感到疑虑，而这也让该公司承受其他原本不需要承受的压力。

隐形MAPP成员，有权提前拿到微软公布漏洞细节和攻击工具

追查攻击工具的来源，除了漏洞发现者Orange Tsai外，还有收到通报的微软MSRC。但根据华尔街日报的报导，有权拿到相关漏洞资讯的单位，还有一个微软在2008年推出的“主动防御计划（Microsoft Active Protections Program，MAPP）”的64家资安防毒与IPS和IDS业者。

事实上，参与MAPP成员会依照和微软合作密切程度不同，这些公司可以在微软释出漏洞修补程式之前，“提前”收到微软针对该次漏洞修补的技术细节。根据华尔街日报报导，某些有权提前取得漏洞技术细节的MAPP成员，极有可能在2月23日，就提前拿到Exchange漏洞细节与攻击工具，并在分享时走漏风声，导致不应该外泄的PoC攻击工具外泄。

不具名资安专家匿名表示，在微软3月2日释出修补程式前二小时，他们已经拿到该次Exchange零时差漏洞的技术细节，包含PoC攻击工具在内。

另外，也有许多传言可呼应这项猜测，例如，关于Orange Tsai提供给微软PoC攻击工具，在二月下旬，已经出现在中国地下骇客论坛四处流窜。目前，在3月4日，某位中国资安研究员公开的推特也发现，该公司并非MAPP成员，已经掌握可以串接微软漏洞编号CVE-2021-26855和CVE-2021-27065两个漏洞的攻击程式（Exploit）。

Orange Tsai表示，他也认真看了这个在推特公开攻击程式的程式码，他发现，这和他提供给微软的攻击程式相似度极高，差别在于：该攻击程式有中国公司的名称，而程式码中，则有一个英文字母大小写的差异。

对戴夫寇尔而言，验证微软Exchange漏洞有效的PoC攻击工具，只是为了证明通报漏洞的高危险性，如果该公司要利用相关攻击工具做坏事，根本不需要向微软通报相关零时差漏洞即可。而面对外界不合逻辑的恶意指控，翁浩正猜测，不乏有某些业者见缝插针、落井下石的不当商业竞争行为。

Fireeye区分一月初和二月底的Exchange攻击，来自两群不同的骇客

此外，戴夫寇尔在1月5日向微软通报漏洞后，有资安公司Volexity在3月2日部落格发文，在1月3日就已经观察到有利用SSRF漏洞的攻击流量，到了二月底，他们又看到另外一波更大规模针对Exchange服务器的攻击。

同时，微软将一月初及二月底针对Exchange攻击者，全部指控是中国-支持的网军Hafnium发动的攻击。

不过，资安业者FireEye在3月4日则在部落格发文表示，在二月底、三月初的Exchange攻击事件中，发现China Chopper的WebShell片段；而FireEye首席执行官Kevin Mandia在3月9日接受媒体访问时直言，针对Exchange的第二波攻击始于2月26日，与一月份攻击手法细腻、更偷偷摸摸的中国网军攻击模式相比，两者行事风格大不相同，他更直接推测，第二波Exchange的攻击，即可能是未经-授权的骇客组织所发动的大规模攻击。

Orange Tsai表示，他针对微软Exchange撰写的攻击，一直到去年12月底才完成，有资安业者DomainTool于3月10日发部落格表示，在去年11月便曾经观察到外界有某些骇客组织，已经利用微软Exchange的SSRF漏洞发动攻击。因此，他推测今年一月通报微软的SSRF漏洞，早就是其他骇客组织或是网军手中掌握的网络武器，只不过，他后来也发现类似的SSRF漏洞罢了。

戴夫寇尔资深产品经理徐念恩表示，这次Orange Tsai发现的2个漏洞，牵涉到微软Exchange 2013、Exchange 2016和Exchange 2019这三个市面上最通用版本，更早之前，可以不用进行身份验证，就可以远端执行攻击的RCE漏洞，则是由美国影子掮客骇客组织在2016年所外泄的，原本由美国国安局（NSA）网络秘密攻击组织方程式（Equztion Group）秘密掌握、针对微软Exchange 2003的漏洞。

由此可见，微软Exchange服务器的漏洞影响范围深远，才会因为攻击工具不明原因外泄，造成这么大的风波。而这次戴夫寇尔发现的ProxyLogon漏洞，因为不用身份验证加上可以远端执行任意指令的RCE漏洞，在在证明，企业邮件服务器的安全，已经是企业资安的重中之重。

有许多传言，二月底在中国地下骇客论坛，已经有串连微软Exchange漏洞编后CVE-2021-26855和CVE-2021-27065两个漏洞的PoC攻击工具，而在３月４日，则发现有中国资安公司研究员，该公司并不在MAPP成员名单中，已经拿到相关的攻击工具，且和Orange Tsai跟微软回报漏洞所附上的验证漏洞危险性的PoC一键击杀攻击工具相似度很高，只有一个英文字母大小写差别。上图则是中国资安研究员公开攻击工具的截图。

微软Exchange邮件服务器漏洞研究与揭露时间表