【安全通报】微软EXCHANGE服务的远程代码执行漏洞
本周二,微软发布了一个Important级别的补丁,解决了Microsoft Exchange Server中的远程代码执行错误。Microsoft Exchange Server是微软公司开发的一种电子邮件服务组件,通常和域环境配合使用(大部分版本需要域环境才能安装)。除了传统的电子邮件收发外,还提供了一系列辅助功能:语音邮件,内容过滤等,且支持多种协议。
概况
根据目前FOFA系统最新数据(一年内数据),显示全球范围内共有959837个Exchange服务对外开放。美国使用数量最多,共有243897个,德国第二,共有127290个,英国第三,共有49031个,中国大陆第四,共有36107个,中国香港第五,共有34757个。
全球范围内Exchange服务分布情况如下(仅为分布情况,非漏洞影响情况)。
中国大陆地区北京市使用数量最多,共有6723个,上海市第二,共有6306个,广东省第三,共有6242个,江苏省第四,共有3462个,浙江省第五,共有2497个。
危害等级
高危
漏洞原理
这个RCE漏洞是在Exchange Control Panel (ECP)组件中发现的。旧版Microsoft Exchange Server在安装后的web.config
文件中都拥有相同的validationKey
和decryptionKey
。这些密钥用于保证ViewState的安全性。而ViewState是ASP.NET Web应用以序列化格式存储在客户机上的服务端数据。客户端通过__VIEWSTATE请求参数将这些数据返回给服务器。
由于使用了静态密钥,经过身份验证的攻击者可以欺骗目标服务器反序列化恶意创建的ViewState数据。在YSoSerial.net的帮助下,攻击者可以在Exchange Control Panel web应用上执行任意系统代码,从而实现命令执行。
虽然攻击者必须首先进行身份验证,但是在企业中,大多数用户都可以通过Exchange服务器的身份验证。而且任何外部攻击者只要控制了任何企业用户的设备或凭证,都可以借此漏洞接管Exchange服务器。
漏洞影响
从Microsoft Exchange Server 2010到2019版本均受影响
CVE编号
CVE-2020-0688
修复建议
目前微软官方已公布补丁,可点击https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688
下载相关补丁。
参考
[3] https://nosec.org/home/detail/4158.html
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。
最新评论