【安全通报】微软EXCHANGE服务的远程代码执行漏洞

本周二，微软发布了一个Important级别的补丁，解决了Microsoft Exchange Server中的远程代码执行错误。Microsoft Exchange Server是微软公司开发的一种电子邮件服务组件，通常和域环境配合使用（大部分版本需要域环境才能安装）。除了传统的电子邮件收发外，还提供了一系列辅助功能：语音邮件，内容过滤等，且支持多种协议。

概况

根据目前FOFA系统最新数据（一年内数据），显示全球范围内共有959837个Exchange服务对外开放。美国使用数量最多，共有243897个，德国第二，共有127290个，英国第三，共有49031个，中国大陆第四，共有36107个，中国香港第五，共有34757个。

全球范围内Exchange服务分布情况如下（仅为分布情况，非漏洞影响情况）。

中国大陆地区北京市使用数量最多，共有6723个，上海市第二，共有6306个，广东省第三，共有6242个，江苏省第四，共有3462个，浙江省第五，共有2497个。

危害等级

高危

漏洞原理

这个RCE漏洞是在Exchange Control Panel （ECP）组件中发现的。旧版Microsoft Exchange Server在安装后的web.config文件中都拥有相同的validationKey和decryptionKey。这些密钥用于保证ViewState的安全性。而ViewState是ASP.NET Web应用以序列化格式存储在客户机上的服务端数据。客户端通过__VIEWSTATE请求参数将这些数据返回给服务器。

由于使用了静态密钥，经过身份验证的攻击者可以欺骗目标服务器反序列化恶意创建的ViewState数据。在YSoSerial.net的帮助下，攻击者可以在Exchange Control Panel web应用上执行任意系统代码，从而实现命令执行。

虽然攻击者必须首先进行身份验证，但是在企业中，大多数用户都可以通过Exchange服务器的身份验证。而且任何外部攻击者只要控制了任何企业用户的设备或凭证，都可以借此漏洞接管Exchange服务器。

漏洞影响

从Microsoft Exchange Server 2010到2019版本均受影响

CVE编号

CVE-2020-0688

修复建议

目前微软官方已公布补丁，可点击https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688下载相关补丁。

参考

[1] https://zh-cn.tenable.com/blog/cve-2020-0688-microsoft-exchange-server-static-key-flaw-could-lead-to-remote-code-execution?tns_redirect=true

[2] https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys

[3] https://nosec.org/home/detail/4158.html

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。