微軟提供阻擋與修補零時差攻擊，Exchange開拓利用的解決方法：LoadMaster 負載平衡裝置

最近公布了兩個針對微軟設施中Exchange伺服器的零時差漏洞，且已遭到攻擊。好消息是Exchange雲端的使用者們（例如Microsoft 365客戶群）無須擔心，因這些開拓利用僅針對設施中(on-premises)版本。

微軟在研究完整的解決方案時提供了一些早期維修，包含僅允許管理員遠地存取PowerShell及在Exchange伺服器上建立URL的改寫阻擋規則。

LoadMaster負載平衡裝置 對兩者都有幫助。LoadMaster可以快速和簡易地進行URL改寫。稍後，我將會在部落格中詳細說明。

駭客們必須取得Exchange伺服器的存取權認證，才能執行這些開拓利用，而此類存取權可以透過強力與容易管理的兩因數或多因數認證方式制止。稍後會詳細討論。

果然，微軟強烈建議將設施中Exchange遷移至雲端，可惜無法及時補救新的零時差開拓利用。

現在，我想要深入探討各種開拓利用的細節。

「微軟知道有兩種經報導的零時差漏洞，會影響微軟的Exchange Server 2013、Exchange Server 2016及Exchange Server 2019。第一種是稱為CVE-2022-41040，屬於伺服器側請求偽造(SSRF)的漏洞，第二種稱為CVE-2022-41082，可以在攻擊者存取Exchange PowerShell時，允許攻擊者進行遠端代碼執行(RCE)。請參閱Microsoft Security Response Center blog的緩減指南。」Microsoft blog表示：「CVE-2022-41040可以讓經認證的攻擊者，從遠端觸發CVE-2022-41082。但是，對於脆弱的Exchange伺服器，存取權的認證是成功開拓利用兩種漏洞的必要條件，且可以分別使用。」

微軟從8月開始追蹤這些開拓利用，並「在2022年8月觀察到與單一作業集團有關的活動已成功完成初期入侵，透過在少數目標攻擊中鏈結CVE-2022-41040與CVE-2022-41082，以侵入各Exchange伺服器。」微軟表示：「這些攻擊事件植入了Chopper webshell程式，以方便手動使用鍵盤存取，攻擊者使用此方式進行作用中檔案夾偵查(reconnaissance)與數據滲透(data exfiltration)。」

微軟具有「中度信心」，認為此類單一行動群組可能是屬於國家贊助的組織。

公開揭露使賭注提升

公開揭露使開拓利用爆發 — 這是9月28日GTSC部落格公布開拓利用之最新消息後發生的事。「預期類似之威脅與此類漏洞的全面性開拓利用將會增加，因為安全研究人員及網路犯罪者會將公布的研究結果納入其工具包，並使原理代碼的證據成為可用。」微軟警告。

修補與更新

當漏洞揭露時，攻擊不再零時差。在釋出修補程式及／或更新，以彌補漏洞之後，攻擊通常會增多及變本加厲。公開揭露與修補程式或更新，為網路犯罪提供了啟動漏洞之開拓利用的藍本。通常，攻擊者之間會互通訊息，甚至做為服務出售，因此，即使是最沒經驗的駭客也可以進行網路攻擊。這也是為什麼推出安全修補，會使系統的修補或更新更致命的原因。

釣捕管理員

特權攻擊提升，讓駭客可以進入網路的最深層。佔領管理員帳號是一條捷徑，且通常是透過網路釣魚進行，例如IT管理員可能會收到一封電子郵件，誘使其洩漏身分資料。

在其他案例中，因為很少人會使用多因數鑑別工具，或稱MFA，導致IT管理員的帳號太容易破解。其實，微軟曾在其Ignite大會中針對參與人員進行調查，結果很驚訝地發現在全球Office 365管理員中，僅有2%啟用MFA。CoreView進行的調查結果較好，但是距離優秀仍太遠 — 78%的Office 365管理員未啟動MFA。

是的，的確很離譜，但是管理員們通常擁有很多很多個帳號，且額外的登入步驟確實很麻煩。煩人與讓駭客竊取特權，並使您的企業陷入風險之間孰輕孰重，必須自己決定。

這些是屬於雲端的範例，我們可以想像設施中的MFA與無節制的特權也一樣糟糕。

雙重認證 — 切勿忽視

我們瞭解釣魚如何危害管理員帳號。這正是採用雙重認證（無論是使用一次性密碼憑證或簡訊服務(SMS)）的理由。您可以考慮使用兩段式確認服務，例如Microsoft Authenticator。使用雙重認證對於bots很有效，因為他們無法滿足二次性挑戰。LoadMaster本身支援所有主要「雙重認證」提供者，使整合變得更簡化。如果有需要時，也可以在客戶端裝置上透過強化使用客戶端認證，進一步鎖定存取。

實施「零信任網路存取」

之前，我曾經提到這些攻擊如何仰賴駭客們綁架管理員的權限，這正是「零信任」與最少權限存取需要防範的事。

零信任網路存取，又稱為ZTNA，是一種不信任任何客戶個體以及僅准許策略明確定義之存取的手法。零信任不會暗示信任存取，且僅會核准成功驗明身分之客戶端的存取權。策略中明確定義了資源的存取權，以防止使用者跨出經允許的存取權範圍。

零信任是從考量客戶的身分及存取請求的內容開始，例如使用者來自於哪一種裝置或網路。必須提出以下問題：「是否來自於公司管理的裝置？是否在家工作？是否位於第三國？」

在驗明身分之後，客戶可以依據策略獲得授權，擁有足以連結至各種資源的存取權。LoadMaster可以做為透過API定義簡易策略的ZTNA閘門，以利用其他保全與策略工具組簡化整合作業。

為何負載平衡是網路安全的關鍵階層

LoadMaster可以加入組織雲端安全，成為有效的完整安全強化點。LoadMaster可以增強雲端平台的保全服務，為應用程式之安全與可用度提供多層面的防護。LoadMaster可以在所有主要雲端平台上使用，若想要進行設施中(on-premises)部署，則可以做為虛擬工具使用。

使用TLS 1.3，不要仰賴SSL

另一種設施中Exchange保全措施，是停止仰賴許多人視為已過時之加密保全通訊協定的SSL（安全通訊端階層）— 至少對Exchange 而言 — 並轉移至TLS 1.3。「TLS 1.3消除了停用的加密運算，強化了舊版本的安全性，並致力於盡可能增加handshake的加密。」微軟在其 Exchange Server Roadmap update中表示。

請注意，雖然TLS 1.3無法制止這些Exchange的開拓利用，對於Exchange伺服器而言，它是非常重要的整體性安全步驟。

簡化URL改寫解決方法

LoadMaster可以加快URL的改寫。雖然微軟已在其Microsoft Exchange伺服器零時差漏洞客戶通報指導方針中提供了說明，我們認為我們有更好的方法。

微軟提供了一些減輕災情的方法，包括透過IIS管理員在Autodiscover虛擬檔案夾中，建立Exchange 伺服器URL改寫的阻擋規則，以阻擋透過Autodiscover取得遠方存取權之特定的PowerShell URL語法。在LoadMaster中亦可做到此方法。在LoadMaster中以內容規則的方式，建立URL的改寫阻擋規則，並套用至Autodiscover的次虛擬服務中。以下說明在LoadMaster中達成此目的之步驟：

1. 導航到Rules & Checking > Content Rules > Create new
2. 針對Content Rule的語法，輸入下列內容：
   • 規則型式：內容符合性
   • 符合方式：正常表達
   • 符合欄位：留白
   • 符合字串：/.autodiscover\json “\@Powershell”/
   • 檢查下列項目：忽略大小寫、在URL中包含詢問、符合性失敗
   • 執行IT旗標組：無設定
   • 若旗標為未設定時執行：無設定
   • 若符合時設定旗標：無
3. 依據步驟2建立此規則，然後導航至LoadMaster上之Exchange虛擬服務內的Autodiscover次虛擬服務，點選修改(Modify)選項。
4. 進入進階內容，然後進入HTTP選擇規則，點選「顯示選擇規則」，然後加入步驟2建立的零時差阻擋內容規則。成功加入規則，將出現此結果。
5. 然後，轉往進階內容部分，進入「Not Available Redirection Handling」，將錯誤代碼設定為403，並輸入錯誤訊息，例如「受阻的存取權」。
6. 在完成上述步驟之後，嘗試使用阻擋的字串語法，導航至Exchange 虛擬服務的完全合格網域名稱(FQDN)。網路瀏覽器中應會出現403的禁止回應，以及「阻止存取權」的錯誤訊息。