Microsoft Office Online Server对SSRF-to-RCE漏洞开放

admin 2023年1月23日21:57:56安全漏洞评论6 views1063字阅读3分32秒阅读模式

据安全研究人员称,可以利用运行 Microsoft Office Online Server的Windows服务器来实现服务器端请求伪造(SSRF),然后在主机上实现远程代码执行(RCE)。来自MDSec的研究人员表示,他们已将他们的发现通知了Microsoft安全响应中心,但被告知该易受攻击的行为不是错误,而是Office Online Server的一个功能,因此不会修复。

Microsoft Office Online Server对SSRF-to-RCE漏洞开放

根据MDSec的说法,微软建议管理员“锁定该服务器场上的端口和任何帐户,使其具有最低权限”,以避免对连接Internet的Office Online主机的攻击。

管理员还可以将服务的OpenFromUNCEnabled标志设置为false,以防止通过UNC路径访问文件,这是用于攻击服务器的功能。

Office Online Server是一项ASP.NET服务,它提供基于浏览器的Word、Excel、PowerPoint和OneNote 版本。Office Online通过SharePoint、Exchange Server、共享文件夹和网站提供对Office文件的访问。

Office Online有一个.aspx页面,用于从远程资源中检索文档。根据安全公司MDSec的技术文章,攻击者可以使用此端点通过服务器发起与远程资源的连接并执行SSRF。

例如,研究人员发现他们可以向页面发送未经身份验证的GET请求,以对服务器本地网络的设备进行指纹识别。根据响应的时间,他们可以识别服务器网络中的活动IP地址。

如果攻击者控制了Office Online Server可以访问的SMB服务器,他们可以进一步利用该漏洞。

Office Online Server使用其计算机帐户来启动与远程资源的连接。当使用端点检索其SMB服务器上的文档时,研究人员可以使用工具ntlmrelayx强制服务器将连接中继到Active Directory证书服务(ACDS)并检索Active Directory网络的客户端证书。

使用此证书,他们能够获得到Office Online Server主机的Ticket-Granting Ticket(TGT) - 一个登录会话令牌。他们使用TGT发送S4U2Self请求以向服务器伪造服务票证。这使他们能够获得对主机的本地管理员访问权限。

根据研究人员的发现,还有另一种途径可以通过将端点连接中继到LDAP服务并执行影子凭证攻击来获得对服务器的远程访问。


原文始发于微信公众号(郑州网络安全):Microsoft Office Online Server对SSRF-to-RCE漏洞开放

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月23日21:57:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Microsoft Office Online Server对SSRF-to-RCE漏洞开放 https://cn-sec.com/archives/1407963.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: