Exchange PowerShell を ProxyNotShell の後で悪用する:パート 3 – RCE のための DLL ロード チェーン
この記事は、Exchangeでリモートコード実行に至る3つの脆弱性のチェーンについて論じています。包括的なファイル書き込み、読み取り、ローカルDLLロードの脆弱性があります。著者は、Microsoft.Exchange.DxStore.Common.DxSerializationUtil+SharedTypeResolverクラスに存在するガジェットを発見し、攻撃者が制御する場所からDLLをロードすることができます。ただし、このガジェットは、ファイル拡張子チェック、抽出後のファイル削除、抽出パスの予測が必要といういくつかの制限があります。著者は、expandユーティリティでの引数インジェクション、悪意のあるファイル用のサブディレクトリーの作成、ログファイルからのGUIDのリークを使用してこれらの制限を回避しました。最終的なペイロードは、3つのCABファイルを配信するものでした。1つはFUSE.Paxos.dll用、1つはIjwhost.dll用、もう1つはGUIDをリークするために壊れたファイルが含まれていました。著者は、File.Existsチェックを通過するためのトリッキーなSMBシェア構造も準備しました。