首頁 > 安全研究 > 安全通報 > 安全通告

Exchange域內提權高危漏洞安全通告

發布時間 2019-01-23

漏洞編號和級別


CVE編號:CVE-2018-8581,危險級別:高危, CVSS分值:官方:7.4


影響范圍


受影響版本: 

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

注:Exchange 權限模型分為 Split Permission Model 與 Shared Permission Model(默認),采用 Split Permission Model 的 Exchange 服務器不受此攻擊方案影響。


漏洞概述


Microsoft Exchange Server是微軟公司的一套電子郵件服務組件。除傳統的電子郵件的存取、儲存、轉發作用外,在新版本的產品中亦加入了一系列輔助功能,如語音郵件、郵件過濾篩選和OWA(基于Web的電子郵件存?。?。Exchange Server支持多種電子郵件網絡協議,如SMTP、NNTP、POP3和IMAP4。Exchange Server能夠與微軟公司的活動目錄完美結合。


微軟的 Exchange 先前被爆出存在SSRF漏洞,漏洞編號為:CVE-2018-8581。近日該漏洞的另一利用方法被國外安全研究人員公開并且附帶了POC,攻擊者利用此漏洞可直接控制目標網絡內的 Windows 域進而直接控制域內所有 Windows 機器。目前微軟官方還沒有推送出最新的補丁來防止該攻擊方式,并且微軟針對CVE-2018-8581的補丁也不能防御該攻擊方式來獲取域控權限。


漏洞驗證


漏洞利用條件:擁有域內任意賬戶的郵箱帳號密碼并且Exchange服務器使用了Shared permission模型(默認啟用)。POC:https://github.com/dirkjanm/PrivExchange。


修復建議


1.    參考以下鏈接將 Exchange 權限模型更改為 Split Permission Model

https://docs.microsoft.com/en-us/exchange/understanding-split-permissions-exchange-2013-help

https://docs.microsoft.com/en-us/exchange/managing-split-permissions-exchange-2013-help


2. 在域控制器上開啟smb簽名檢驗(若域內有WindowsNT或以下機器需要SMB校驗不推薦使用)

運行注冊表編輯器 (Regedt32.exe)。

HKEY_LOCAL_MACHIME\System\CurrentControlSet\Services\LanManServer\Paramete中將 EnableSecuritySignature 跟 RequireSecuritySignature 的值都改為1然后確定并重新啟動Windows。




或者將下面命令保存成批處理在域控機器上以管理員權限運行,運行成功后重啟域控服務器。


reg  add"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanWorkStation\Parameters"/v "RequireSecuritySignature" /t REG_DWORD /d 1 /f

reg  add"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanWorkStation\Parameters"/v "EnableSecuritySignature" /t REG_DWORD /d 1 /f

reg  add"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters"/v "RequireSecuritySignature" /t REG_DWORD /d 1 /f

reg  add"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters"/v "EnableSecuritySignature" /t REG_DWORD /d 1 /f


參考鏈接


https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/

https://github.com/dirkjanm/PrivExchange

上一篇 下一篇