ProxyNotShell：Exchange服务器面临的新威胁

如果你负责管理公司的电子邮件系统，最近可能听说过一个名为“ProxyNotShell”的安全漏洞。它主要影响微软的Exchange邮件服务器，可能让攻击者窃取邮件甚至控制服务器。我的理解是，这并非一个单一的漏洞，而是两个漏洞被串联利用的结果，其模式与去年的“ProxyShell”攻击有些相似。

漏洞的基本构成

ProxyNotShell这个绰号，来源于它利用了微软在2022年9月19日公开的两个漏洞。第一个是CVE-2022-41040，这是一个服务器端请求伪造（SSRF）漏洞。第二个是CVE-2022-41082，它允许远程代码执行。关键在于，攻击者可以先用第一个漏洞，去远程触发第二个漏洞，从而形成一条完整的攻击链。尽管攻击者需要具备一定的身份验证权限才能发起攻击，但微软评估这个所需的权限级别“很低”。

潜在的风险与影响

将这两个漏洞链接在一起利用，可能会造成严重的后果。根据原文描述，这“可能导致完全破坏”。具体来说，外部攻击者可能直接读取组织服务器上的电子邮件，在Exchange服务器上植入恶意软件，并执行远程代码。虽然这种攻击似乎绕不过所有的安全机制，但一个被窃取的邮箱地址和密码组合，就可能成为攻击的起点，并且它能够绕过MFA（多因素认证）登录到Outlook Web Access。

当前的缓解措施

在撰写原文时，微软尚未发布官方的修复补丁。因此，当前的建议是一种临时性的缓解方案：通过添加特定的阻止规则来拦截恶意流量。原文提到，微软官方博客提供了相关的[添加阻止规则]指导。不过，这种措施的效果尚未经过完全验证，并且如果实施不当，可能会影响企业正常的邮件服务流程，因此最好被视为等待正式补丁期间的临时办法。

如何评估自身风险

由于彻底的修复方案还未到来，评估自己是否暴露于风险之下就显得尤为重要。这可以帮助企业避免采取可能影响业务的不必要措施，或者精准地将关键资产迁移到更安全的环境中。一些安全研究机构提供了针对性的评估工具，运行这些测试可以验证特定的Exchange服务器是否容易受到ProxyNotShell攻击。在官方补丁发布前，进行这样的评估被认为是成本效益较高的风险管控方式。

总结

总的来说，ProxyNotShell是Exchange服务器管理员需要警惕的一个组合漏洞威胁。它利用了权限要求较低但危害性大的漏洞链，虽然暂时没有大规模自动化攻击的迹象，但对单个组织的威胁是切实存在的。目前，管理员应密切关注微软的官方更新，并考虑实施推荐的临时缓解规则，同时评估自身系统的暴露情况，为应用最终的官方补丁做好准备。