近日,Microsoft Exchange Server被发现存在远程代码执行漏洞,Microsoft Exchange Server 是微软出品的非常流行的邮件服务端程序。该漏洞的 CVE 编号为CVE-2018-8302。该漏洞需要一定的前提条件才可以利用,微软官方将此漏洞的可利用度描述为 "exploitation less likely" (不太可能被利用)。
文档信息
文档名称 | Microsoft Exchange Server 远程代码执行漏洞预警安全预警通告 |
关键字 | Microsoft Exchange Server |
发布日期 | 2018年8月15日 |
分析团队 | 360安全监测与响应中心 |
漏洞描述
2018-8-14日,微软官方 SRC 发布了CVE-2018-8302 漏洞预警,同日ZDI公布了该漏洞的大致利用细节。该漏洞本质为 .NET反序列化漏洞,漏洞被成功利用后,可导致攻击者获得 Exchange 服务器的 System 权限,可导致严重后果。
不过,根据 ZDI 发布的利用漏洞过程可以看出,此漏洞的利用存在以下先决条件:
1. Exchange Server 必须启用 UM 功能,此功能默认情况下不启用。
2. 攻击者需要控制了一个启用了 voice mailbox 的邮件账号。
风险等级
360安全监测与响应中心风险评级为:高危
预警等级:蓝色预警(一般网络安全预警)
影响范围
官方提供的受影响的版本如下:
Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 23
Microsoft Exchange Server 2013 Cumulative Update 20
Microsoft Exchange Server 2013 Cumulative Update 21
Microsoft Exchange Server 2016 Cumulative Update 10
Microsoft Exchange Server 2016 Cumulative Update 9
注意:
未在以上列表中的版本,可能是因为不存在漏洞,也可能是因为超出了版本的生命周期。处置建议
微软官方已经提供了更新补丁,用于修复此漏洞。请受影响用户尽快下载更新避免此漏洞带来的风险。
技术分析
根据 ZDI 披露的漏洞利用过程,大致总结如下:
1. 需要 exchange 启用一个默认没有启用的 Unified Messaging 特性。
2. 攻击者需要控制一个开启了 UM voice mailbox 的邮箱账号。
3. 攻击者利用这个账号,利用 exchange webservice 将反序列化的 payload 写入到 TopNWords.Data 属性中。
4. 攻击者向这个账号发送一封 voice mail,当 exchange 服务器收到这封 voice mail 的时候,会尝试将其转换成为文字。
在转换成文字的过程中,会读取 TopNWords.Data 并进行反序列化,导致漏洞触发。
参考资料
[1] https://www.zerodayinitiative.com/blog/2018/8/14/voicemail-vandalism-getting-remote-code-execution-on-microsoft-exchange-server
时间线
[1] 2018-08-14 微软官方发布补丁
[2] 2018-08-15 360安全监测响应中心发布安全预警通告
声明:本文来自360安全监测与响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
