ProxyShell: Microsoft Exchange 未授权 RCE 漏洞链分析

ProxyShell: Microsoft Exchange 未授权 RCE 漏洞链深度分析

0x01 漏洞背景与详情

ProxyShell 不是单一漏洞,而是一条针对本地部署版 Microsoft Exchange 的高危利用链,通常指以下 3 个漏洞组合利用:

  • CVE-2021-34473
  • CVE-2021-34523
  • CVE-2021-31207

这条链的典型结果是:攻击者可从外网经由 Exchange 的前端入口,一路绕过访问控制、进入后端 PowerShell 管理面,并最终把恶意文件写入 Web 可访问路径形成远程代码执行。

  • 产品对象: Microsoft Exchange Server
  • 典型影响版本:
    • Exchange 2013 CU23 及以下未修复版本
    • Exchange 2016 CU20 及以下未修复版本
    • Exchange 2019 CU9 及以下未修复版本
  • 核心风险: 外网未授权打入邮件基础设施,落地 webshell,接管邮箱与内网身份体系

0x02 漏洞原理分析

这条链的危险点在于,每一环单独看未必最致命,但串起来后就形成了完整的未授权 RCE 路径。

1. 前端路由混淆

CVE-2021-34473 的关键问题出在 Exchange CAS 对 AutodiscoverExplicit Logon 等路径处理不严。攻击者可以通过构造异常 URL,把原本不应被未授权访问的后端端点暴露出来。

2. 后端 PowerShell 身份冒充

CVE-2021-34523 利用了 Exchange 对 X-Rps-CAT / CommonAccessToken 等后端身份上下文的信任缺陷,使攻击者能够以伪造用户身份进入远程 PowerShell 管理面。

3. 从管理面到文件写入

CVE-2021-31207 进一步把已取得的 Exchange 管理能力转化为文件落地能力。攻击者可滥用导出类功能把恶意内容写入 IIS 可访问路径,最终形成 webshell 和远程代码执行。

4. 本质是一条控制面穿透链

这条链不是“普通 Web 漏洞 + 命令执行”,而是从 Exchange 的前端代理层一路打进邮件控制面,再借助 Exchange 原生功能做持久化,因此极具现实破坏力。

0x03 漏洞链利用思路

出于安全考虑,这里不提供可直接运行的利用代码,只保留研究与防守视角的链路描述。

利用链抽象步骤

  1. 从外部访问 Autodiscover 相关端点。
  2. 利用前端路径混淆把请求转发到后端敏感接口。
  3. 泄露或恢复有效邮箱对象的内部标识,用于后续伪造身份。
  4. 借助伪造的后端身份上下文进入 Exchange PowerShell。
  5. 调用高权限管理命令,分配导出类角色或直接执行导出。
  6. 将恶意内容落地到 Web 路径,最终形成 .aspx 等 webshell。

防守型 POC 重点

这类漏洞最适合做“链路验证”而不是“命令执行验证”:

  • 是否存在异常 Autodiscover 路由
  • 是否出现异常 PowerShell-Proxy 调用
  • 是否出现异常角色分配
  • 是否存在可疑导出和非常规 .aspx 文件生成

0x04 高级实战利用姿势 (Weaponization)

  1. 不一定直接落经典 webshell: 真实攻击中,攻击者有时不会直接把恶意文件写到最显眼的 Exchange Web 目录,而是落到更隐蔽路径,或借助配置改写和虚拟目录映射隐藏访问入口。

  2. 借邮件系统建立长期控制: 攻击者拿下 Exchange 后,价值不只是“执行命令”,还包括:

    • 控制邮箱
    • 伪造邮件流量
    • 读取地址簿和组织结构
    • 继续横向到 AD 与内网管理面

  3. 只用前两段也足够危险: 即便攻击者没有立刻落盘 webshell,只要进入远程 PowerShell,很多后续管理动作就已经足够造成破坏,例如增权、建号、赋予邮箱访问权限等。

  4. 典型后利用行为: ProxyShell 在现实攻击里经常被用于:

    • webshell 持久化
    • 凭据窃取
    • 隧道代理
    • WMI 横向
    • 勒索软件投递

0x05 应急排查与日志痕迹分析

  1. IIS 日志重点 重点搜索与以下路径相关的异常访问:

    • /autodiscover/autodiscover.json
    • EWS
    • MAPI
    • PowerShell

    特别注意:

    • 外部异常来源 IP
    • 非正常 UA
    • 一次请求后迅速串联多个后端端点

  2. PowerShell-Proxy 与 CmdletInfra 建议重点检查:

    • New-ManagementRoleAssignment
    • New-MailboxExportRequest
    • New-ExchangeCertificate
    • Add-RoleGroupMember
    • Add-MailboxPermission

  3. 文件系统痕迹 优先排查:

    • inetpub\wwwroot\aspnet_client\
    • Exchange\FrontEnd\HttpProxy\owa\auth\
    • 新增 .aspx
    • 新增 .aspx.req
    • 非常规隐藏目录与虚拟目录映射

  4. 进程与行为痕迹 重点看:

    • w3wp.exe -> powershell.exe
    • w3wp.exe -> cmd.exe
    • w3wp.exe -> certutil.exe
    • w3wp.exe -> wmic.exe

0x06 修复与缓解建议

  1. 立即升级到受支持 CU + 最新 SU 仅靠旧版本或临时缓解远远不够。

  2. 不要把“已补丁”当成“已安全” 对于曾经暴露公网且补丁滞后的 Exchange,应按“可能已失陷”处理,补丁只是止血,不是清理。

  3. 同步审计角色与权限 重点排查:

    • Organization Management
    • Application Impersonation
    • Full Access
    • Mailbox Import Export

  4. 收缩暴露面 尽量不要让 Exchange 管理与敏感入口直接暴露到公网,应通过反向代理、ACL、VPN 或管理网隔离降低攻击面。

0x07 参考资料