針對近期微軟公布修補遭駭客攻擊的Exchange Server漏洞問題,台灣DEVCORE表示早在1月5日便已發現,並且向微軟通報此項編號命名為「CVE-2021-26855 」,以及「CVE-2021-27065」的零日漏洞,同時也將此項漏洞稱為「ProxyLogon」。
此次揭露的「ProxyLogon」漏洞,是以無需驗證即可使用的遠端程式碼執行 (Pre-Auth Remote Code Execution;Pre-Auth RCE)零日漏洞(Zero-day exploit),可讓攻擊者得以繞過身份驗證步驟,驅使系統管理員協助執行惡意文件或執行指令,進而觸發更廣泛的攻擊。
「ProxyLogon」是微軟近期被揭露最重大的RCE漏洞之一,DEVCORE團隊遵循責任揭露 (Responsible Disclosure)原則,在發現後便第一時間立即於今年1月5日通報微軟進行修補,避免該漏洞遭有心人士利用,造成全球用戶重大損失。而微軟遂於3月2日針對相關漏洞釋出安全更新,避免用戶機敏資訊遭受惡意攻擊。
DEVCORE 首席資安研究員暨研究組組長蔡政達指出,「DEVCORE 團隊在 2019 年時就已發布了許多有關遠端程式碼的研究,引發許多討論,美國國家安全局等單位更對此向企業示警,然而這些遠端程式碼仍然被全球許多惡意攻擊者所利用。此次執行 ProxyLogon 研究項目,便是希望提高企業組織的安全意識,防範因存在漏洞而遭到進階持續性滲透攻擊(Advanced Persistent Threat;APT),或是被國際駭客組織所突破。」
DEVCORE主要提供具駭客思維的紅隊演練、滲透測試及顧問服務,實質檢測企業組織的資安防禦,進而提升其資安體質。
而DEVCORE研究團隊過去曾揭露 Amazon、Facebook、Twitter、GitHub與Uber等國際企業的遠端程式碼執行漏洞 (RCE vulnerabilities)。除此之外,團隊亦曾深入研究包含Exim及Dovecot等郵件相關解決方案。
DEVCORE執行長翁浩正表示,「DEVCORE 由世界級白帽駭客團隊創立,擁有具備高度道德及技術能量的團隊,持續遵循責任揭露原則,發現企業的漏洞後,及時示警其盡速修補,協助全球企業與組織迎戰與時俱進的攻擊型態,抵禦不斷變化的威脅。」
