【安全通报】微软EXCHANGE服务的远程代码执行漏洞

iso60001  131天前

22.jpg

本周二,微软发布了一个Important级别的补丁,解决了Microsoft Exchange Server中的远程代码执行错误。Microsoft Exchange Server是微软公司开发的一种电子邮件服务组件,通常和域环境配合使用(大部分版本需要域环境才能安装)。除了传统的电子邮件收发外,还提供了一系列辅助功能:语音邮件,内容过滤等,且支持多种协议。

概况

根据目前FOFA系统最新数据(一年内数据),显示全球范围内共有959837个Exchange服务对外开放。美国使用数量最多,共有243897个,德国第二,共有127290个,英国第三,共有49031个,中国大陆第四,共有36107个,中国香港第五,共有34757个。

全球范围内Exchange服务分布情况如下(仅为分布情况,非漏洞影响情况)。

aa.png

中国大陆地区北京市使用数量最多,共有6723个,上海市第二,共有6306个,广东省第三,共有6242个,江苏省第四,共有3462个,浙江省第五,共有2497个。

bb.png

危害等级

高危

漏洞原理

这个RCE漏洞是在Exchange Control Panel (ECP)组件中发现的。旧版Microsoft Exchange Server在安装后的web.config文件中都拥有相同的validationKeydecryptionKey。这些密钥用于保证ViewState的安全性。而ViewState是ASP.NET Web应用以序列化格式存储在客户机上的服务端数据。客户端通过__VIEWSTATE请求参数将这些数据返回给服务器。

由于使用了静态密钥,经过身份验证的攻击者可以欺骗目标服务器反序列化恶意创建的ViewState数据。在YSoSerial.net的帮助下,攻击者可以在Exchange Control Panel web应用上执行任意系统代码,从而实现命令执行。

虽然攻击者必须首先进行身份验证,但是在企业中,大多数用户都可以通过Exchange服务器的身份验证。而且任何外部攻击者只要控制了任何企业用户的设备或凭证,都可以借此漏洞接管Exchange服务器。

100.png

漏洞影响

从Microsoft Exchange Server 2010到2019版本均受影响

33.png

CVE编号

CVE-2020-0688

修复建议

目前微软官方已公布补丁,可点击https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688下载相关补丁。

参考

[1] https://zh-cn.tenable.com/blog/cve-2020-0688-microsoft-exchange-server-static-key-flaw-could-lead-to-remote-code-execution?tns_redirect=true

[2] https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys

[3] https://nosec.org/home/detail/4158.html

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋 指尖安全

nosec.org All Rights Reserved 京ICP备15042518号