ProxyNotShell 이후 Exchange PowerShell 악용: Part 3 – RCE를 위한 DLL 로딩 체인
이 문서에서는 임의 파일 쓰기, 읽기 및 로컬 DLL 로딩 취약점을 포함하여 Exchange에서 원격 코드 실행으로 이어지는 세 가지 취약점의 연쇄에 대해 설명합니다. 작성자는 공격자가 제어하는 위치에서 DLL을 로드하는 Microsoft.Exchange.DxStore.Common.DxSerializationUtil+SharedTypeResolver 클래스에서 가젯을 발견했습니다. 그러나 이 가젯은 파일 확장자 검사, 추출 후 파일 제거, 추출 경로 예측의 필요성 등 몇 가지 제한 사항이 있습니다. 공격자는 확장 유틸리티에서 인수 인젝션을 사용하고, 악성 파일의 하위 디렉터리를 생성하고, 로그 파일에서 GUID를 유출하여 이러한 제한을 우회했습니다. 최종 페이로드에는 FUSE.Paxos.dll용 파일, Ijwhost.dll용 파일, GUID 유출을 위한 손상된 파일이 포함된 파일 등 3개의 CAB 파일을 전달했습니다. 작성자는 File.Exists 검사를 통과하기 위해 까다로운 SMB 공유 구조도 준비했습니다.