• 欢迎访问小弟新的博客,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站 QQ交流群群
  • 本博客坚持更新微软UC产品的相关信息与项目上遇到的问题,欢迎大家关注并提出相关改进意见。
  • 本博客每周日更新博文,同时非常欢迎各位老铁投稿,或者加入QQ群进行相关交流 QQ交流群群

重磅!微软Exchange server 产品被爆史上最严重安全漏洞,全系版本均中招!内附最新解决方案!

Exchange Server 张超 4个月前 (08-15) 1397次浏览 1个评论 扫描二维码
文章目录[隐藏]

重磅!微软 Exchange server 产品被爆史上最严重安全漏洞,全系版本均中招!内附最新解决方案!

今日获悉微软 Exchange server 产品被爆史上最严重安全漏洞,当前支持的 ExchangeServer 全系版本均中招!

据微软中国企业服务首席解决方案专家、微软大师张美波分享的信息:Trend Micro 发现了Exchange Server 产品历史上最为严重的系统漏洞,发送一封特定格式的邮件即可远程以系统账户执行任意代码,相关信息可以参考以下微软安全公告:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8302

关于这个 Exchange Server安全漏洞,今天已经正式发布了相关更新。

Exchange2010 紧急应对方案

1、针对 Exchange Server 2010 的安全更新,是通过 ExchangeServer 2010 SP3 RU23 实现,只要 Exchange Server 2010 是 SP3 及以上版本即可安装,下载地址为:

UpdateRollup 23 for Exchange Server 2010 Service Pack 3

https://www.microsoft.com/en-us/download/details.aspx?id=57219

2、完成以上先决条件后,再安装,微软最新发布的 CVE-2018-8302 安全更新

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8302

Exchange2013/2016 紧急应对方案

1、针对 Exchange Server 2013 和 Exchange Server 2016,由于我们从 Exchange Server 2013 开始修改了产品支持模式,每个季度发布一次累计更新(CU),而仅支持最近的两个 CU 版本,因此仅针对目前支持的 Exchange Server 2013 CU20/CU21、ExchangeServer 2016 CU9/CU10 发布了安装更新。如果需要安装该安全更新,首先需要将 ExchangeServer 2013、Exchange Server 2016 安装到对应支持的 CU 版本,然后才能安装该更新。下载地址为:

Descriptionof the security update for Microsoft Exchange Server 2013 and 2016: August 14,2018

https://support.microsoft.com/en-us/help/4340731/description-of-the-security-update-for-microsoft-exchange-server-2013

2、完成以上先决条件后,再安装,微软最新发布的 CVE-2018-8302 安全更新

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8302

发现这个安全问题的 Trend Micro ZeroDay Initiative 团队发布了一篇 Blog,对该安全问题进行了详细的描述。注意目前攻击代码已经可能外泄了。

安全漏洞相关讲解

1、目前 POC 攻击代码需要依赖于Exchange Server 的 UM 角色。注意这个角色在Exchange Server 2010 中是独立安装的服务器角色,在 Exchange Server2013/2016 中是集成安装的服务器角色;

2、入侵者需要预先上传恶意攻击代码(.NET serializationpayload)到目标用户邮箱(攻击代码中是通过 EWS 上传;需经过身份验证,例如上传到自己的用户邮箱),并修改用户邮箱收件箱文件夹的件夹的 TopNWords.Data 属性(公属性(公共属性,通过身份验证的用户即可修改自身邮箱中的对应属性);Trend Micro Zero Day Initiative 团队认为微软的安全更新中,禁止了用户去访问去访问 TopNWords.Data 属性(目属性(目前尚未得到 Exchange 产品组的确认)。

3、入侵者发送语音邮件到对应的目标用户邮箱,触发 Exchange 服务器对语音邮件进行转换处理;

4、此时,触发执行之前入侵者上传的恶意攻击代码,以本地系统账户执行。

关于上述流程中:

1、TopN Words 是扫描、分析并记录用户所使用的最常用的词语信息,通过 TopN Words Assistant 实现;

2、TopN Words Assistant 不定期(近乎实时)扫描用户邮箱中的语音邮件,并实现其功能;

3、TopN Words Assistant 集成在 Microsoft Exchange Mailbox Assistants 服务中,隶属于Exchange Server MBX 服务器角色上的服务;

4、 Microsoft Exchange Mailbox Assistants 服务运行在本地系统账户之下。

按照惯例,POC 攻击代码泄露之后,可能会被分析利用并进一步加以扩大攻击范围,因此请大家一定要尽快安装相关更新。


张超 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明重磅!微软 Exchange server 产品被爆史上最严重安全漏洞,全系版本均中招!内附最新解决方案!
喜欢 (89)
[Juck.Zhang]
分享 (0)
关于作者:
版主目前就职国资委旗下子公司,微软MVP、高级微软实施工程师、微软技术爱好者、钻研者;具有多年丰富的项目实践经验。在公司主要负责微软活动目录、Exchange、Skyper for Biusees等产品的架构设计、实施、问题处理等工作。
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(1)个小伙伴在吐槽
  1. 四、本次安全漏洞4个常见问题: 1、听说这个漏洞主要是针对安装UM角色的环境,如果没有没有安装UM角色还会被利用吗? 答:根据目前的资料看来,要利用这个漏洞有两个条件:1、环境中安装了UM角色并配置启用功能。2、攻击者获取到一个能使用 UM voice 的邮箱账号。所以,如果Exchange 2007或Exchange 2010这类可独立安装UC角色的版本,如果之前没有安装UM角色,应该不会被利用,但如果环境允许,依然建议还是打上这个补丁。(目前尚未得到Exchange产品组的确认) 2、当前Exchange 2013或2016环境没有升级到补丁提供的版本怎么办? 答:本次安全更新补丁微软只提供了目前支持的版本,所以如果需要安装该安全更新,首先需要将 Exchange Server 2013、Exchange Server 2016 安装到对应支持的 CU 版本,然后才能安装该更新,当然是否可以更新到新版的CU,需要结合其它因素比如与Exchange相关的第三方产品的支持情况。 3、Exchange 2007版本也有UM角色,会有影响吗?怎么办? 答:本次安全公告中没有提及Exchange 2007版本,但是相信依然存在风险,主要原因应该是Exchange 2007已经不在微软的支持范围,所以没有提供相关的安全更新补丁。所以,建议尽快升级至新版Exchange环境。 4、如何当前环境没有升级和更新补丁的环境,能否禁用UM相关服务? 答:目前微软Exchagne产品组没有提供和建议这类方法,但根据目前的漏洞分析,如果实在没有可以升级和更新补丁的环境,且并不需要使用UM服务,可以考虑尝试暂时直接停止并禁用”Microsoft Exchange Unified Messaging“服务。
    张超2018-08-16 09:57 回复