Microsoft Exchange Server 远程代码执行漏洞

      
       近日,Microsoft Exchange Server被发现存在远程代码执行漏洞,Microsoft Exchange Server 是微软出品的非常流行的邮件服务端程序。该漏洞的 CVE 编号为CVE-2018-8302。该漏洞需要一定的前提条件才可以利用,微软官方将此漏洞的可利用度描述为 “exploitation less likely” (不太可能被利用)。

漏洞描述

2018-8-14日,微软官方 SRC 发布了CVE-2018-8302 漏洞预警,同日ZDI公布了该漏洞的大致利用细节。该漏洞本质为 .NET反序列化漏洞,漏洞被成功利用后,可导致攻击者获得 Exchange 服务器的 System 权限,可导致严重后果。

影响范围

官方提供的受影响的版本如下:

Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 23

Microsoft Exchange Server 2013 Cumulative Update 20

Microsoft Exchange Server 2013 Cumulative Update 21

Microsoft Exchange Server 2016 Cumulative Update 10

Microsoft Exchange Server 2016 Cumulative Update 9

根据 ZDI 披露的漏洞利用过程,大致总结如下:

  1.  需要 exchange 启用一个默认没有启用的 Unified Messaging 特性。
  2.  攻击者需要控制一个开启了 UM voice mailbox 的邮箱账号。
  3.  攻击者利用这个账号,利用 exchange webservice 将反序列化的 payload 写入到 TopNWords.Data 属性中。
  4.  攻击者向这个账号发送一封 voice mail,当 exchange 服务器收到这封 voice mail 的时候,会尝试将其转换成为文字。

在转换成文字的过程中,会读取 TopNWords.Data 并进行反序列化,导致漏洞触发。

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注

3 × 5 =