漏洞预警丨MICROSOFT EXCHANGE SERVER – 远程代码执行漏洞通告

Posted 盛邦安全WebRAY

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞预警丨MICROSOFT EXCHANGE SERVER – 远程代码执行漏洞通告相关的知识,希望对你有一定的参考价值。

2018年8月15日,WebRAY安全研究中心在针对不同客户的web应用进行安全监测时,发现有安全人员表示非特权Exchange用户可以通过.NET Binary Formatter反序列化漏洞在Exchange Server中以“NT AUTHORITY / SYSTEM”(系统账户权限)运行任意代码,经检测,大量用户受到该类漏洞的影响。


经过分析,企业通常为Exchange服务器配置启用统一消息(UM),攻击者通常可以通过鱼叉式网络钓鱼攻击企业成员,一旦拿到某一企业成员邮箱账户,攻击者即可向该成员邮箱发送语音邮件,收到语音邮件时,由于Exchange默认开启了UM自动转换成文本功能,恶意的payload 信息可以转化的文本并利用,从而导致代码以系统账户权限执行。

WebRAY安全研究中心将持续关注该漏洞进展,并第一时间为您更新该漏洞信息。


1.漏洞概述


漏洞简述:2018年8月14日,CVE漏洞库发布了漏洞编号为CVE-2018-8302的安全漏洞,漏洞危害程度为高等(higher)。漏洞的来源在于收件箱文件夹中TopNWords.Data属性,此数据存储在Exchange服务器本身,是一个公共属性,因此用户可以通过Exchange Web服务(EWS)进行更改。在收到语音邮件时,Exchange会尝试将其转换为副本以显示在收件人的收件箱中。启用UM后,默认情况下会启用Transcription,要执行Transcription,Exchange将读取TopNWords.Data为用户收件箱配置的属性,并使用.NET BinaryFormatter对其进行反序列化以获取文本到语音组件,导致代码以系统账户权限执行。


2.漏洞基本信息


产生原因

存在.NET BinaryFormatter反序列化漏洞

影响范围

所有为Exchange服务器配置启用UM的企业

漏洞ID

CVE-2018-8302


3.漏洞等级


WebRAY安全研究中心风险评级:高危


4.修复建议


1、禁用Microsoft Exchange服务器中UM配置。

2、关注官方网站,及时进行补丁更新。



盛邦安全

中国领先的Web安全产品与解决方案提供商

长按二维码关注


推荐阅读

↓↓↓




点击“阅读原文”↓

以上是关于漏洞预警丨MICROSOFT EXCHANGE SERVER – 远程代码执行漏洞通告的主要内容,如果未能解决你的问题,请参考以下文章

预警Microsoft Exchange Server远程代码执行漏洞-高危

漏洞预警丨Oracle WebLogic XMLDecoder反序列化漏洞

关于Microsoft Exchange Server 特权提升漏洞处理方法

DHS警告:Microsoft Exchange服务器漏洞正被APT黑客利用

漏洞告警-Microsoft Windows 编解码器库远程执行代码漏洞CVE-2020-1457/1425

勒索软件Epsilon Red:Microsoft Exchange服务器新威胁