预警通报

网络安全预警通报 第九期(2019.1.4)
时间:2019-01-04   


 网络安全预警通报

2019年第1期   (总第9期

西安交通大学网络信息中心           2019年1月4日

               


 

【预警类型】漏洞预警

预警内容

Exchange SSRF 权限提升漏洞安全预警通告
 

微软的 Exchange 服务被发现存在 SSRF 权限提升漏洞,漏洞编号为:CVE -2018-8581,通过利用此漏洞可造成严重后果。

一、漏洞情况分析

 

微软的 Exchange 服务被发现存在 SSRF 权限提升漏洞,漏洞编号为:CVE -2018-8581。攻击者在已经控制了目标至少一个邮箱的访问权限的前提下,通过利用此漏洞,可以越权接收到任何人的邮件,继而可造成十分严重的信息泄露或其他严重安全事件。

二、漏洞影响范围

漏洞影响的产品版本包括:

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016
Microsoft Exchange Server 2019

三、漏洞处置建议

微软官方已发布修复此漏洞的补丁: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018 -8581 根据以上官方链接,通过在受影响的 Exchange 服务器执行如下命令,可 修复漏洞: reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa /v DisableLoopbackCheck /f 但是,该补丁未并真正修复本次的根源漏洞:即 Exchange 存在的 SSRF 漏 洞。它所尝试修复的是利用此 SSRF 进行 NTLM-RELAY 进而导致的凭据窃取问 题(详情见技术分析)。

四、漏洞处置建议

该漏洞实质是由 SSRF (Server-Side Request Forgery:服务器端请求伪造)漏洞和其他安全机制相结合造成的。Exchange 允许任何用户为推送订阅指定所需的 URL,服务器将尝试向这个 URL 发送通知,此行为造成 SSRF 漏洞。且 Exchange 服务器在向指定的 URL 发送通知时,在需要的情况下 Exchange 会自动向此 URL 进行 401 身份认证。认证的其中一种方式为 NTLM 认证。且因为 Exchange 服务在与目标 URL 进行 401 认证时所使用的默认凭据为 CredentialCache.DefaultCredentials 且 Exchange 服务默认由 SYSTEM 账号启动, 所以攻击者通过利用此 SSRF 漏洞,可以窃取 Exchange 服务器的系统账号凭据并伴随利用 NTLM-RELAY 技术将此凭据重放至 Exchange 服务器的 EWS 接口,从而获得一个高权限的 EWS 会话。 该高权限的会话允许攻击者在后续访问 EWS 接口时模拟成任何用户,并最终可以接收到任何用户今后所接收到的任何邮件。

附:参考链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8581

相关文章:
读取内容中,请等待...

地址:陕西省西安市咸宁西路28号 邮编:710049

版权所有:西安交通大学 站点建设与维护: 网络信息中心 陕ICP备06008037号