微软Exchange邮件服务器漏洞研究与揭露时间表

2020/9/23  

⊙戴夫寇尔首席资安研究员Orange Tsai：回报微软Exchange邮件服务器漏洞，登入后可以远端可执行攻击程式（RCE），编号CVE-2020-17117

2020/10/1 

⊙Orange Tsai：深入研究微软Exchange服务器漏洞，希望找出可以躲过认证的远端 可执行攻击程式（RCE）

2020/11月初 

DomainTool观察到有利用SSRF漏洞的攻击流量（ DomainTool在2021/3/10公开发文）

2020/12/8 

⊙微软修复戴夫寇尔通报的，登入后可以远端执行攻击程式（RCE）漏洞，编号CVE-2020-17117

2020/12/10 

⊙戴夫寇尔：发现SSRF（Server Side Request Forgery，服务器请求伪造）漏洞，编号CVE-2021-26855

2020/12/27 

⊙戴夫寇尔：找到SSRF绕过认证的方式，编号CVE-2021-26855

2020/12/30 

⊙戴夫寇尔发现需登入的任意写入档案漏洞（Post-Authentication Arbitrary File Write），编号CVE-2021-27065

2020/12/31 

⊙戴夫寇尔写出串接编号CVE-2021-26855和编号CVE-2021-27065漏洞，可以远端执行攻击（RCE）的一键击杀PoC攻击程式Exploit

2021/1月初 

 Fireeye Mandiant观察到，有网军利用Exchange漏洞发动攻击（Fireeye在2021/3/4发文公开）

2021/1/3 

Volexity观察到，网络间谍利用编号CVE-2021-26855发动SSRF第一波mail dumping的攻击（Volexity在2021/3/8部落格发文更正攻击时间）

2021/1/5 

⊙戴夫寇尔回报微软SSRF（编号CVE-2021-26855）和任意写档漏洞（编号CVE-2021-27065），并附上完整的PoC攻击程式

⊙Orange Tsai推特发表：Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported! Hope there is no bug collision or duplicate

2021/1/6  

⊙微软MSRC回复戴夫寇尔，已经收到通报的2个漏洞资讯，微软案号MSRC case 62899和MSRC case 63835

2021/1/8  

⊙微软回信给戴夫寇尔，确认编号CVE-2021-26855和编号CVE-2021-27065漏洞是严重的风险

2021/1/11  

⊙戴夫寇尔询问微软，希望在120天提供漏洞修补程式，之后，戴夫寇尔才会公开相关技术细节；顺便询问有没有其他研究者找到类似的攻击手法

2021/1/12 

⊙微软回信给戴夫寇尔，确认将在120天内提供修补程式

⊙微软确认，戴夫寇尔目前是唯一通报相关漏洞的通报者，没有撞洞

2021/1/18 

荷兰资安业者Dubex观察到，骇客利用反序列化漏洞（漏洞编号CVE-2021-26857）针对用户端Exchange邮件服务器发动攻击

2021/1/25 

⊙戴夫寇尔注册ProxyLogon网站，用来说明Exchange漏洞

2021/1/27 

荷兰资安业者Dubex通报微软，有骇客利用Exchange新漏洞发动攻击

2021/2/2 

⊙戴夫寇尔写信询问微软修补程式进度

⊙微软MSRC当天回信给戴夫寇尔，将修补程式拆分成几个部分进行检视中，确定可以在120天完成漏洞修补

Volexity警告微软有骇客集团利用Exchange未知漏洞发动攻击

2021/2/8 

微软回报Dubex，微软内部升级他们通报的漏洞

2021/2/12 

⊙微软主动写信询问，漏洞发现者要怎么注明，并询问戴夫寇尔是否会在修补程式发布后，对外公开更多细节的技术部落格

2021/2/13 

⊙戴夫寇尔回复，因为这个漏洞很研严重，为了让企业有更多修补时间，会在微软释出修补程式后二周，才在技术部落格公开更多技术细节，会公布ProxyLogon网站

2021/2/18 

⊙戴夫寇尔询问编号CVE-2021-26855和编号CVE-2021-27065漏洞修补时间为3/9，并提供ProxyLogon网站草稿请微软提供建议

微软跟戴夫寇尔确认，将于3/9释出Exchange修补程式

2021/2/23 

微软针对MAPP（主动防御计划）的64家防毒、IDP与IPS业者，依据和微软合作程度深浅，最早于今日提供Exchange漏洞技术细节及PoC攻击工具；最晚则是修补程式释出前5小时拿到相关资讯

2021/2/26 

1、KrebsOnSecurity报导，有骇客开始无差别、大规模利用Exchange漏洞发动攻击

2、Fireeye认为，第二波攻击始于2/26，与一月份中国网军针对式攻击模式不同，可能是未经授权的骇客组织发动大规模攻击（Fireeye CEO Kevin Mandia于3/9受访时表示）

2021/2/27～2/28 

多家资安公司观察到，有大量攻击微软Exchange邮件服务器的攻击流量

2021/2/27 

⊙微软回信，将于三月份第二个星期二（3/9）释出漏洞修补程式，也会同步撰写更多技术细节部落格，解释漏洞的风险，并征求戴夫寇尔同意，能否在技术部落格中提及戴夫寇尔

2021/2/28 

⊙戴夫寇尔同意微软可以提及该公司的建议

 华尔街日报报导，网络上出现第二波Exchange攻击流量

2021/3/2 

⊙戴夫寇尔收到2封信，第一封信正式告知，必须提早释出漏洞修补程式，来不及撰写技术部落格，同时告知戴夫寇尔揭露洞漏的编号为：CVE-2021-26855和CVE-2021-27065，微软希望在他们公布修补程式之前，不要在推特或其他地方提到相关资讯；第二封信则在第一封信的半小时后，告知可以公开ProxyLogon网站

1、微软提前修补4个微软Exchange邮件服务器零时差漏洞：

A、漏洞编号CVE-2021-26855—免认证的SSRF（Server Side Request Forgery，服务器请求伪造漏洞），是这次核心漏洞

B、漏洞编号CVE-2021-26857—身份验证后，可以以SYSTEM身份执行任意指令

C、漏洞编号CVE-2021-26858—身份验证后，可以执行档案任意写入的漏洞，攻击者可以利用该漏洞，将内容写入受害系统的任何可访问部分

D、漏洞编号CVE-2021-27065—身份验证后，可以执行档案任意写入的漏洞

2、微软修补的版本为：微软Exchange 2013年、2016年和2019年版

3、微软资安威胁情资中心（MSTIC）宣称，中国网军Hafnium，已利用相关漏洞攻击本地部署的Exchange系统，锁定攻击非-组织（NGOs）

2021/3/3～3/5 

⊙戴夫寇尔为了自清，并没有遭骇或外泄攻击工具，3/3开始进行内部调查，确认各种研究存取和相关电脑与系统的安全性，并委请第三方资安公司提供工具，进行内部电脑清查，确认没有遭到骇客入侵或存在任何恶意程式，并于3/5完成调查

2021/3/3  

国土安全部CISA发布微软Exchange漏洞有关的紧急指令21-02，作为-机关漏洞修复具体指引

2021/3/4 

1、白宫国家安全顾问Jack Sulivan推特表示，尽速修补微软Exchange邮件服务器漏洞很重要，且要侦测该邮件服务器是否已经遭骇

2、微软资安威胁情资中心（MSTIC）释出可以侦测中国Hafnium骇客集团的脚本程式

3、Fireeye部落格发文指出，在三月初的Exchange攻击事件中，发现China Chopper的WebShell片段

4、中国资安研究员在推特公开串连微软漏洞编号CVE-2021-26855和CVE-2021-27065的PoC攻击工具

2021/3/5 

⊙Orange在推特表示：“I know there are lots of people waiting for the recent Microsoft Exchange pre-auth RCE on our side. This is a short advisory and detailed timeline. https://proxylogon.com”正式对外公开ProxyLogon网站

⊙确认在外流传的第二波Exchange一键击杀攻击程式与戴夫寇尔提供给微软的攻击程式，相似度极高

1、微软资安回应中心（MSRC）释出Exchange邮件服务器漏洞修补指南

2、白宫新闻秘书Jen Psaki在现场简报中，关注攻击规模大小

3、KrebsOnSecurity 部落格宣称，美国有超过3万家企业、被成千上万个骇客入侵企业的Exchange邮件服务器，并被安装后门程式

2021/3/6 

美国CISA发现，国内外广泛利用微软Exchange漏洞，要求微软提供IOC检测工具，并扫描Exchange邮件服务器日志确认损害范围

2021/3/7 

微软针对Exchange服务器零时差漏洞释出恶意web shell侦测工具，整合在Windows安全工具Microsoft Safety Scanner（MSERT）中

2021/3/9 

微软宣称，全球仍有10万台～40万台Exchange邮件服务器还没有修补漏洞

2021/3/10 

1、资安研究员MalwareTech在Github公布微软Exchange漏洞的PoC攻击程式，随后遭到微软的删除

2、资安公司ESET表示，至少有10个APT组织正在利用微软Exchangex漏洞发动攻击

2021/3/11 

⊙ 微软写信询问戴夫寇尔，希望戴夫寇尔晚点公布相关技术部落格，公布时间“越晚越好”

RiskIQ发文表示，全球剩下82,731台Exchange邮件服务器还没有完成漏洞修补

2021/3/12 

⊙ Orange Tsai推特表示：“The exploit in later Feb looks like the same, the exploited path is similar (/ecp/.js) and the webshell password is "orange" (I hardcoded in the exploit…)”

ID Ransomware网站主持人资安研究员安全研究人员Michael Gillespie收到Exchange邮件服务器遭到勒索软件感染样本DearCry，受骇者来自美国、澳洲和加拿大等地

2021/3/15 

微软释出微软Exchange漏洞的一键缓解工具（EOMT），可以缓解因漏洞编号CVE-2021-26855漏洞带来的安全威胁，并且可以清楚由已知威胁所造成的变更

2021/3/16 

RiskIQ发文表示，全球剩下69,587台Exchange邮件服务器还没有完成漏洞修补

＠资料来源：iThome整理，2021年3月