【全球獨家】專訪戴夫寇爾首席資安研究員Orange Tsai：微軟Exchange漏洞研究與通報歷程大公開

在2年前，曾經拿下資安圈漏洞奧斯卡獎Pwnie Awards「最佳伺服器漏洞獎」戴夫寇爾首席資安研究員Orange Tsai（蔡政達），漏洞通報記錄不勝枚舉，後來因為針對企業常用的SSL VPN進行漏洞研究與通報，更是在全球資安圈聲名大噪。

不過，在今年3月2日卻發生讓Orange Tsai錯愕不已的事情。那就是，他在今年一月跟微軟通報的2個Exchange漏洞，微軟原訂在3月9日對外釋出修補程式，卻突然提前一週，在3月2日便緊急釋出修補程式。原來是因為，在2月26日到2月28日，這個週五下班後到週末這段期間，全球各地發生許多利用微軟Exchange漏洞發動攻擊的資安事件。

電子郵件伺服器已經是許多企業對外溝通聯繫的主要命脈，當駭客透過Exchange漏洞的攻擊程式，可以輕易窺視並偷取企業的電子郵件，更嚴重者，甚至可能影響企業的生存。因此，這也迫使微軟不得不提前一週，對外釋出4個Exchange零時差漏洞的修補程式。

Orange Tsai除了對微軟提前一週釋出修補程式感到錯愕，更讓他不解的事情則是：這個針對微軟Exchange郵件伺服器的攻擊程式，究竟從何而來？經歷各種搜尋後發現，這個在外面流傳的攻擊程式，為什麼和他提供給微軟的攻擊程式，相似度如此之高？

甚至於，還有許多對於資安漏洞研究與通報流程不清楚的大眾媒體，在沒有與當事人確認的情況下，將發現並通報漏洞的研究者，視為對全世界Exchange伺服器發動惡意攻擊的黑帽駭客，更讓他承受無比巨大的壓力。

「包括公司主管和我在內，大家已經有一個多禮拜沒有辦法好好睡一覺，每天大概只有睡3、4個鐘頭，睡醒第一件事情就是，看看有沒有人在推特標註他，或是有沒有人發信給他，詢問關於Exchange漏洞的任何疑問，就必須儘速的回應對方。」他說道。

「對一個白帽駭客而言，可以沉浸在純技術的領域中，就是最大的快樂。」Orange Tsai在接受iThome專訪時表示，對他而言，漏洞挖掘這件事：找到漏洞、通報原廠等待修補後、再分享漏洞挖掘的過程，一方面可以拯救世界，另一方面，也可以幫助這些廠商，提升產品或服務的安全性，甚至在分享漏洞挖掘思維的過程，還能同時回饋到整個資安社群。因此，對Orange Tsai來說，挖掘漏洞就是最有趣的工作。

關注企業產品安全性，Exchange漏洞研究歷程從2020年9月開始展開

Orange Tsai過往漏洞通報對象相當廣泛，囊括Twitter、Facebook、Amazon等多個國際大廠，也曾經在黑帽大會及DEF CON資安會議發表研究──連續三年，他都以創新的駭客思維，找到不同漏洞的串連方式，對於他如何想到這樣的漏洞串連方式，與會者都嘖嘖稱奇。他更憑著自己漏洞研究的專長，成為另類的臺灣之光。另外，從2014年開始，臺灣HITCON戰隊首度有資格出國參加DEF CON CTF比賽迄今，他更是HITCON戰隊中的當然成員之一。

以往，Orange Tsai的漏洞研究，主要是針對各個業者提供的漏洞獎勵計畫（Bug Bounty Program），去挖掘產品或服務的漏洞，而通報原廠後，他就可以拿到一筆獎金，而這樣的漏洞挖掘過程相對單純，因為，提出漏洞獎勵計畫的業者，對於白帽駭客通報的漏洞都會高度重視，也樂意儘快修補漏洞，同時可以形成一個正向的循環。

不過，當Orange Tsai漏洞研究的領域開始轉向企業使用的產品後發現，這些企業經常使用的產品和服務，因為影響範圍更深遠，對企業使用者帶來的幫助更直接，他和同事Meh針對三個國際知名大廠的SSL VPN產品進行的漏洞研究，就是最好的例子。

當他將漏洞研究領域逐漸轉到企業產品時，開始對企業都會使用的電子郵件服務感到興趣，畢竟，每一臺郵件伺服器的背後，就有一間以上的企業；加上，電子郵件已經是所有企業標準且正式的對外溝通管道，而微軟的Exchange更是最常見的郵件伺服器之一。於是，他也開始將漏洞研究範圍，轉向微軟Exchange郵件伺服器。

在2020年9月，Orange Tsai首度向微軟通報Exchange郵件伺服器，有個登入後可遠端執行攻擊程式（RCE）的漏洞（漏洞編號CVE-2020-17117），之後，他就在思考，企業最常使用的微軟Exchange郵件伺服器，是否有其他可以繞過身分驗證的RCE漏洞呢？

他設身處地想著：如果惡意的黑帽駭客或是政府在背後支持的網軍，可以找到繞過身分驗證並且遠端執行攻擊程式的漏洞的話，那麼，這些入侵企業的駭客或網軍，就可以如入無人之境般的任意窺視並竊取企業內外部溝通的所有郵件內容，而只要企業或組織的機敏郵件遭到外洩，對企業或組織甚至可能產生生存危機。

因為對漏洞技術研究，抱持著這麼一點好奇與強大的熱情，Orange Tsai從2020年10月份開始，便針對Exchange郵件伺服器進行更深入的研究，除了要閱讀大量的文件資料與各式各樣的會議論文，也必須要能從研究者、使用者與駭客等不同角度切入，模擬思考使用者從Exchange伺服器登入到收發郵件的過程中，有沒有哪一個脆弱環節會讓駭客有可趁之機，藉此堂而皇之地入侵Exchange郵件伺服器呢？

Orange Tsai想著，編號CVE-2020-17117漏洞，是一個必須要先登入、經過身分驗證，才能夠執行攻擊程式的漏洞，而要怎麼找到免登入、讓使用者可以躲過Exchange郵件伺服器身分認證的RCE漏洞，就是他研究的目標。

串連免驗證SSRF及任意寫檔漏洞，寫出一鍵擊殺PoC攻擊工具

歷經兩個多月的研究，他在12月10日發現1個SSRF（Server-Side Request Forgery，伺服器端請求偽造攻擊）漏洞，就是利用存在缺陷的Web應用，代理攻擊遠端和本地端的伺服器。但重點是，SSRF的攻擊要可以繞過身分驗證，Orange Tsai繞過身分驗證的這個研究目標，一直到12月27日才成功達標，這個漏洞通報微軟後，微軟將之漏洞編號CVE-2021-26855。

找到繞過身分驗證的方式後，再找其他的漏洞就相對簡單，他在12月30日便找到另外一個需登入進行身分驗證的任意寫入檔案漏洞（Post-Authentication Arbitrary File Write），漏洞編號CVE-2021-27065。

有了兩個好用的漏洞，對白帽駭客而言，就是必須從攻擊的角度出發，串連不同漏洞、達到偷取Exchange郵件的目的，所以，Orange Tsai便在12月31日，這個民眾紛紛外出跨年的同時，遵循業界的標準流程，寫好串連CVE-2021-26855漏洞和CVE-2021-27065漏洞的PoC（概念驗證）攻擊程式（Exploit），這個攻擊程式帶來強大威脅之處在於，只需要點擊一個按鍵，就可以達到一鍵擊殺的效果。因為只是為了要驗證漏洞可用，他也在攻擊程式中，寫死密碼orange，便在完成相關的英文報告與相關技術細節後，連同攻擊程式，一併在今年1月5日，將漏洞通報給微軟安全回應中心（MSRC），微軟也在1月8日，確認Orange Tsai通報的兩個漏洞編號。

因為使用微軟Exchange郵件伺服器的使用者太多、影響範圍甚大，Orange Tsai和微軟MSRC信件往返的過程中，甚至將業界90天完成漏洞修補慣例，延長為120天，戴夫寇爾更表示，會在微軟釋出漏洞修補程式後二週，才會對外公開相關的技術細節。

許多零時差漏洞是掌握在駭客與網軍手中，不會向原廠通報

由於，零時差漏洞對於許多國家級網軍而言，就是具有強大威力的網路軍火，而這些國家級網軍最大的目的，就是想要低調潛伏在企業中偷資料。因此，這些網軍即便手中擁有各家產品的零時差漏洞，為了便利網軍可以順利入侵並潛伏在企業中，這些漏洞都不會對外公開、也不會通報原廠進行漏洞修復。有些時候，我們也可以發現，有一些被視為重大的資安威脅、存在十多年才進行修復的漏洞，因此，外界根本不得而知，在過去漏洞未修補的期間，究竟如何被有心人士利用。

最明顯的例子就是，像是2016年在網路上出現的影子掮客（The Shadow Brokers）駭客組織，在網路上公布多個零時差漏洞，包括美國國家安全局（NSA）針對企業防火牆、防毒軟體，以及微軟產品等所擁有的漏洞。

影子掮客在2016年對外公布的、美國NSA使用的永恆之藍攻擊程式，就是利用微軟未修補的SMB零時差漏洞；曾經在2017年5月，對全球電腦使用者造成嚴重資安威脅的勒索軟體Wannacry，就是利用微軟針對SMB零時差漏洞發動攻擊。

因此，Orange Tsai在與微軟信件往返中，也想確認是否有其他類似的漏洞通報者。微軟在1月12日回信表示，當時，戴夫寇爾是唯一的漏洞通報者，但他也深知，沒有向微軟通報的漏洞，不表示這個漏洞不存在，也有可能是掌握在其他駭客或網軍手中，對於「撞洞」的可能性，他也不會輕忽。

二月底，駭客針對Exchange漏洞發動第二波攻擊

微軟一直到2月27日回信的內容中，都仍確定會如期在原訂的3月9日定期更新的時間點，釋出Exchange漏洞修補程式。不過，2月27日到28日週末時間，全球資安公司觀察到許多針對微軟Exchange的攻擊流量，相較有其他資安公司在一月初，便觀察到針對Exchange的攻擊流量，這波二月底的攻擊，則視為第二波攻擊。這次的攻擊，也打亂了微軟漏洞修補程式的進度。

Orange Tsai在3月2日睡醒後，收到微軟寄來的兩封信件，第一封信正式告知，微軟必須提早釋出Exchange郵件伺服器漏洞修補程式，來不及撰寫技術部落格，同時告知戴夫寇爾揭露的漏洞編號為：CVE-2021-26855和CVE-2021-27065，而且，微軟希望在他們公布修補程式之前，不要在推特或其他地方提到相關資訊。

第二封信則在第一封信的半小時後寄到戴夫寇爾手上，微軟正式向他們告知，可以公開相關建議文章或網站，也就是戴夫寇爾針對Exchange漏洞成立的ProxyLogon網站。

包括Orange Tsai在內，戴夫寇爾的同仁在和其他國內外資安研究員私下討論與聯繫的過程中，共通的疑問都是，造成這波全球恐慌的Exchange攻擊程式，到底從何而來？這個網路流傳的攻擊程式，類似Orange Tsai在1月5日提供給微軟、驗證串接編號CVE-2021-26855和CVE-2021-27065微軟漏洞可行的攻擊程式。

為了自清，戴夫寇爾也在3月3日，全面清查內部所有儲存系統和個人電腦的Log（登錄檔），確認是否有異常登入現象；也和第三方資安業者合作，請他們提供工具，再針對內部個人電腦與儲存系統查驗是否有異常情況。在3月5日完成全面清查後，戴夫寇爾確認該公司儲存系統和個人電腦都沒有任何遭駭的跡象。

面對外界有媒體傳言，微軟將調查戴夫寇爾是否遭駭一事，戴夫寇爾執行長翁浩正也正式提出澄清。他說，與微軟互動中，微軟並沒有提及任何要調查該公司是否遭駭一事，微軟做的，只有感謝Orange Tsai，因為他可以找到影響深遠的Exchange郵件伺服器漏洞，並願意通報微軟進行漏洞修復。

面對相關傳言，翁浩正坦言，甚至已經有平日合作的企業夥伴，看到臺灣媒體的報導後，感到疑慮，而這也讓該公司承受其他原本不需要承受的壓力。

隱形MAPP成員，有權提前拿到微軟公布漏洞細節和攻擊工具

追查攻擊工具的來源，除了漏洞發現者Orange Tsai外，還有收到通報的微軟MSRC。但根據華爾街日報的報導，有權拿到相關漏洞資訊的單位，還有一個微軟在2008年推出的「主動防禦計畫（Microsoft Active Protections Program，MAPP）」的64家資安防毒與IPS和IDS業者。

事實上，參與MAPP成員會依照和微軟合作密切程度不同，這些公司可以在微軟釋出漏洞修補程式之前，「提前」收到微軟針對該次漏洞修補的技術細節。根據華爾街日報報導，某些有權提前取得漏洞技術細節的MAPP成員，極有可能在2月23日，就提前拿到Exchange漏洞細節與攻擊工具，並在分享時走漏風聲，導致不應該外洩的PoC攻擊工具外洩。

不具名資安專家匿名表示，在微軟3月2日釋出修補程式前二小時，他們已經拿到該次Exchange零時差漏洞的技術細節，包含PoC攻擊工具在內。

另外，也有許多傳言可呼應這項猜測，例如，關於Orange Tsai提供給微軟PoC攻擊工具，在二月下旬，已經出現在中國地下駭客論壇四處流竄。目前，在3月4日，某位中國資安研究員公開的推特也發現，該公司並非MAPP成員，已經掌握可以串接微軟漏洞編號CVE-2021-26855和CVE-2021-27065兩個漏洞的攻擊程式（Exploit）。

Orange Tsai表示，他也認真看了這個在推特公開攻擊程式的程式碼，他發現，這和他提供給微軟的攻擊程式相似度極高，差別在於：該攻擊程式有中國公司的名稱，而程式碼中，則有一個英文字母大小寫的差異。

對戴夫寇爾而言，驗證微軟Exchange漏洞有效的PoC攻擊工具，只是為了證明通報漏洞的高危險性，如果該公司要利用相關攻擊工具做壞事，根本不需要向微軟通報相關零時差漏洞即可。而面對外界不合邏輯的惡意指控，翁浩正猜測，不乏有某些業者見縫插針、落井下石的不當商業競爭行為。

FireEye區分一月初和二月底的Exchange攻擊，來自兩群不同的駭客

此外，戴夫寇爾在1月5日向微軟通報漏洞後，有資安公司Volexity在3月2日部落格發文，在1月3日就已經觀察到有利用SSRF漏洞的攻擊流量，到了二月底，他們又看到另外一波更大規模針對Exchange伺服器的攻擊。

同時，微軟將一月初及二月底針對Exchange攻擊者，全部指控是中國政府支持的網軍Hafnium發動的攻擊。

不過，資安業者FireEye在3月4日則在部落格發文表示，在二月底、三月初的Exchange攻擊事件中，發現China Chopper的WebShell片段；而FireEye執行長Kevin Mandia在3月9日接受媒體訪問時直言，針對Exchange的第二波攻擊始於2月26日，與一月份攻擊手法細膩、更偷偷摸摸的中國網軍攻擊模式相比，兩者行事風格大不相同，他更直接推測，第二波Exchange的攻擊，即可能是未經政府授權的駭客組織所發動的大規模攻擊。

Orange Tsai表示，他針對微軟Exchange撰寫的攻擊，一直到去年12月底才完成，有資安業者DomainTool於3月10日發部落格表示，在去年11月便曾經觀察到外界有某些駭客組織，已經利用微軟Exchange的SSRF漏洞發動攻擊。因此，他推測今年一月通報微軟的SSRF漏洞，早就是其他駭客組織或是網軍手中掌握的網路武器，只不過，他後來也發現類似的SSRF漏洞罷了。

戴夫寇爾資深產品經理徐念恩表示，這次Orange Tsai發現的2個漏洞，牽涉到微軟Exchange 2013、Exchange 2016和Exchange 2019這三個市面上最通用版本，更早之前，可以不用進行身分驗證，就可以遠端執行攻擊的RCE漏洞，則是由美國影子掮客駭客組織在2016年所外洩的，原本由美國國安局（NSA）網路秘密攻擊組織方程式（Equztion Group）秘密掌握、針對微軟Exchange 2003的漏洞。

由此可見，微軟Exchange伺服器的漏洞影響範圍深遠，才會因為攻擊工具不明原因外洩，造成這麼大的風波。而這次戴夫寇爾發現的ProxyLogon漏洞，因為不用身分驗證加上可以遠端執行任意指令的RCE漏洞，在在證明，企業郵件伺服器的安全，已經是企業資安的重中之重。

有許多傳言，二月底在中國地下駭客論壇，已經有串連微軟Exchange漏洞編後CVE-2021-26855和CVE-2021-27065兩個漏洞的PoC攻擊工具，而在３月４日，則發現有中國資安公司研究員，該公司並不在MAPP成員名單中，已經拿到相關的攻擊工具，且和Orange Tsai跟微軟回報漏洞所附上的驗證漏洞危險性的PoC一鍵擊殺攻擊工具相似度很高，只有一個英文字母大小寫差別。上圖則是中國資安研究員公開攻擊工具的截圖。

圖表參考：微軟Exchange郵件伺服器漏洞研究與揭露時間表