网络安全预警通报
2019年第1期 (总第9期)
西安交通大学网络信息中心 2019年1月4日
【预警类型】漏洞预警
【预警内容】
Exchange SSRF 权限提升漏洞安全预警通告
微软的 Exchange 服务被发现存在 SSRF 权限提升漏洞,漏洞编号为:CVE -2018-8581,通过利用此漏洞可造成严重后果。
一、漏洞情况分析
微软的 Exchange 服务被发现存在 SSRF 权限提升漏洞,漏洞编号为:CVE -2018-8581。攻击者在已经控制了目标至少一个邮箱的访问权限的前提下,通过利用此漏洞,可以越权接收到任何人的邮件,继而可造成十分严重的信息泄露或其他严重安全事件。
二、漏洞影响范围
漏洞影响的产品版本包括:
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
三、漏洞处置建议
微软官方已发布修复此漏洞的补丁: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018 -8581 根据以上官方链接,通过在受影响的 Exchange 服务器执行如下命令,可 修复漏洞: reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa /v DisableLoopbackCheck /f 但是,该补丁未并真正修复本次的根源漏洞:即 Exchange 存在的 SSRF 漏 洞。它所尝试修复的是利用此 SSRF 进行 NTLM-RELAY 进而导致的凭据窃取问 题(详情见技术分析)。
四、漏洞处置建议
该漏洞实质是由 SSRF (Server-Side Request Forgery:服务器端请求伪造)漏洞和其他安全机制相结合造成的。Exchange 允许任何用户为推送订阅指定所需的 URL,服务器将尝试向这个 URL 发送通知,此行为造成 SSRF 漏洞。且 Exchange 服务器在向指定的 URL 发送通知时,在需要的情况下 Exchange 会自动向此 URL 进行 401 身份认证。认证的其中一种方式为 NTLM 认证。且因为 Exchange 服务在与目标 URL 进行 401 认证时所使用的默认凭据为 CredentialCache.DefaultCredentials 且 Exchange 服务默认由 SYSTEM 账号启动, 所以攻击者通过利用此 SSRF 漏洞,可以窃取 Exchange 服务器的系统账号凭据并伴随利用 NTLM-RELAY 技术将此凭据重放至 Exchange 服务器的 EWS 接口,从而获得一个高权限的 EWS 会话。 该高权限的会话允许攻击者在后续访问 EWS 接口时模拟成任何用户,并最终可以接收到任何用户今后所接收到的任何邮件。
附:参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8581
