一、黑客视角下的Exchange
Microsoft Exchange Server是由微软开发的企业级邮件和协作平台。它提供了强大的电子邮件、日历、联系人和任务管理功能,使组织能够高效地进行沟通和协作。然而,它也时常受到攻击。
攻击者喜欢攻击Exchange服务器有两个重要原因。
第一,Exchange本身具有很多历史漏洞以及未公开的0Day漏洞,利用这些漏洞能够很快获得Exchange的控制权,很大程度上提高了攻击的效率。
第二,Exchange部署在域内,并且很多都直接提供公网访问,攻击者如果控制了Exchange就能够以此为据点进行横向移动,最终控制AD域。
对于一个攻击者来说,要攻击Exchange服务器,一般会进行以下操作:
1.信息收集,服务发现
在最初,攻击者会进行信息收集,通过端口扫描、SPN探测等手法发现Exchange服务。
2.无凭据,暴力破解
在定位到Exchange服务器后,攻击者仍然没有任何凭据,当前可通过对/ecp、/owa等接口进行暴力破解,以获得邮箱账户和密码。
3.无凭据,漏洞利用
在没有凭据的情况下,攻击者可探测Exchange的版本,根据版本来判断该版本具有哪些历史漏洞,哪些历史漏洞是不需要凭据就能够直接进行利用的。
比如,在没有凭据的情况下,攻击者可能会尝试利用Proxylogon、Proxyshell等攻击链对Exchange实施攻击,