安全预警Microsoft Exchange Server 远程代码执行漏洞

Posted 2021-04-28 猎户攻防实验室

近日，微软应急响应中心（MSRC）公布一则关于Microsoft Exchange Server的远程任意代码执行漏洞（非特权Exchange用户可以通过 .NET BinaryFormatter 反序列化漏洞在Exchange Server中以“NT AUTHORITY \ SYSTEM”运行任意代码），该漏洞的CVE编号为CVE-2018-8302。

漏洞描述

由于Microsoft Exchange未能正确处理内存中的对象导致一个远程代码执行漏洞。成功利用该漏洞的攻击者可以在Exchange服务器上以system权限允许任意代码，从而可以执行安装程序，查看，修改或删除数据，以及创建新账户等操作。

该漏洞的利用存在一定的先决条件：

• Exchange Server配置启动统一消息功能(Unified Messaging)。

• 攻击者需要访问已启用语音邮箱的邮件账号。

分析评级

猎户实验室风险评级：高危

影响范围

官方提供的受影响的版本如下：

• Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 23

• Microsoft Exchange Server 2013 Cumulative Update 20

• Microsoft Exchange Server 2013 Cumulative Update 21

• Microsoft Exchange Server 2016 Cumulative Update 10

• Microsoft Exchange Server 2016 Cumulative Update 9

注：未在以上列表中的版本，可能是因为不存在漏洞，也可能是因为超出了版本的生命周期。

技术分析

漏洞涉及的恶意数据位于名为TopNWords.Data的收件箱属性中。此数据是存储于Exchange服务器上的用户邮箱账号的一个公开属性，因此用户可以通过Exchange Web服务（EWS）进行更改，故而攻击者可以将恶意数据存入TopNWords.Data中。

Exchange收到语音邮件后，如果启动了UM功能，Exchange会尝试将语言转录为文本以显示在收件人的收件箱中。为了执行转录，Exchange读取用户收件箱配置的TopNWords.Data属性，并使用.NET BinaryFormatter对TopNWords.Data进行反序列化以获取文本到语音转换组件。

攻击者可以构造恶意代码置于TopNWords.Data中，Exchange在反序列化时即执行攻击者的恶意代码。

处置建议

微软官方已在漏洞详情中提供了各手邮箱版本的更新补丁，通过更正Microsoft Exchange处理内存中对象的方式来修复此漏洞。请受影响用户尽快下载更新避免此漏洞带来的风险。

参考资料

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8302

https://www.zerodayinitiative.com/blog/2018/8/14/voicemail-vandalism-getting-remote-code-execution-on-microsoft-exchange-server