漏洞预警丨MICROSOFT EXCHANGE SERVER – 远程代码执行漏洞通告

Posted 2021-04-28 盛邦安全WebRAY

2018年8月15日，WebRAY安全研究中心在针对不同客户的web应用进行安全监测时，发现有安全人员表示非特权Exchange用户可以通过.NET Binary Formatter反序列化漏洞在Exchange Server中以“NT AUTHORITY / SYSTEM”（系统账户权限）运行任意代码，经检测，大量用户受到该类漏洞的影响。

经过分析，企业通常为Exchange服务器配置启用统一消息（UM），攻击者通常可以通过鱼叉式网络钓鱼攻击企业成员，一旦拿到某一企业成员邮箱账户，攻击者即可向该成员邮箱发送语音邮件，收到语音邮件时，由于Exchange默认开启了UM自动转换成文本功能，恶意的payload 信息可以转化的文本并利用，从而导致代码以系统账户权限执行。

WebRAY安全研究中心将持续关注该漏洞进展，并第一时间为您更新该漏洞信息。

1.漏洞概述

漏洞简述：2018年8月14日，CVE漏洞库发布了漏洞编号为CVE-2018-8302的安全漏洞，漏洞危害程度为高等（higher）。漏洞的来源在于收件箱文件夹中TopNWords.Data属性，此数据存储在Exchange服务器本身，是一个公共属性，因此用户可以通过Exchange Web服务（EWS）进行更改。在收到语音邮件时，Exchange会尝试将其转换为副本以显示在收件人的收件箱中。启用UM后，默认情况下会启用Transcription，要执行Transcription，Exchange将读取TopNWords.Data为用户收件箱配置的属性，并使用.NET BinaryFormatter对其进行反序列化以获取文本到语音组件，导致代码以系统账户权限执行。

2.漏洞基本信息

产生原因

存在.NET BinaryFormatter反序列化漏洞

影响范围

所有为Exchange服务器配置启用UM的企业

漏洞ID

CVE-2018-8302

3.漏洞等级

WebRAY安全研究中心风险评级：高危

4.修复建议

1、禁用Microsoft Exchange服务器中UM配置。

2、关注官方网站，及时进行补丁更新。

盛邦安全

中国领先的Web安全产品与解决方案提供商

长按二维码关注

推荐阅读

↓↓↓

点击“阅读原文”↓