漏洞预警丨MICROSOFT EXCHANGE SERVER – 远程代码执行漏洞通告
Posted 盛邦安全WebRAY
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞预警丨MICROSOFT EXCHANGE SERVER – 远程代码执行漏洞通告相关的知识,希望对你有一定的参考价值。
2018年8月15日,WebRAY安全研究中心在针对不同客户的web应用进行安全监测时,发现有安全人员表示非特权Exchange用户可以通过.NET Binary Formatter反序列化漏洞在Exchange Server中以“NT AUTHORITY / SYSTEM”(系统账户权限)运行任意代码,经检测,大量用户受到该类漏洞的影响。
经过分析,企业通常为Exchange服务器配置启用统一消息(UM),攻击者通常可以通过鱼叉式网络钓鱼攻击企业成员,一旦拿到某一企业成员邮箱账户,攻击者即可向该成员邮箱发送语音邮件,收到语音邮件时,由于Exchange默认开启了UM自动转换成文本功能,恶意的payload 信息可以转化的文本并利用,从而导致代码以系统账户权限执行。
WebRAY安全研究中心将持续关注该漏洞进展,并第一时间为您更新该漏洞信息。
1.漏洞概述
漏洞简述:2018年8月14日,CVE漏洞库发布了漏洞编号为CVE-2018-8302的安全漏洞,漏洞危害程度为高等(higher)。漏洞的来源在于收件箱文件夹中TopNWords.Data属性,此数据存储在Exchange服务器本身,是一个公共属性,因此用户可以通过Exchange Web服务(EWS)进行更改。在收到语音邮件时,Exchange会尝试将其转换为副本以显示在收件人的收件箱中。启用UM后,默认情况下会启用Transcription,要执行Transcription,Exchange将读取TopNWords.Data为用户收件箱配置的属性,并使用.NET BinaryFormatter对其进行反序列化以获取文本到语音组件,导致代码以系统账户权限执行。
2.漏洞基本信息
产生原因
存在.NET BinaryFormatter反序列化漏洞
影响范围
所有为Exchange服务器配置启用UM的企业
漏洞ID
CVE-2018-8302
3.漏洞等级
WebRAY安全研究中心风险评级:高危
4.修复建议
1、禁用Microsoft Exchange服务器中UM配置。
2、关注官方网站,及时进行补丁更新。
盛邦安全
中国领先的Web安全产品与解决方案提供商
长按二维码关注
推荐阅读
↓↓↓
点击“阅读原文”↓
以上是关于漏洞预警丨MICROSOFT EXCHANGE SERVER – 远程代码执行漏洞通告的主要内容,如果未能解决你的问题,请参考以下文章
预警Microsoft Exchange Server远程代码执行漏洞-高危
漏洞预警丨Oracle WebLogic XMLDecoder反序列化漏洞
关于Microsoft Exchange Server 特权提升漏洞处理方法
DHS警告:Microsoft Exchange服务器漏洞正被APT黑客利用