以下预警信息来自 360ESG CERT(360安全监测与响应中心),也就是我所在的部门。
360ESG CERT 为国内企业提供高质量安全事件、漏洞预警,欢迎订阅预警通告及关注360ESG CERT 的新公众号。
微软的 Exchange 先前被爆出存在SSRF漏洞,漏洞编号为:CVE-2018-8581。此漏洞先前被公开的利用方案可导致攻击者在拥有目标网络一个邮箱权限的情况下接管网络内任何人的收件箱(下文中将此利用方案将被称为“攻击方案一”),造成严重的信息泄露。
360 A-TEAM 一个月前就此漏洞可造成的另一更严重后果(即攻击者可利用此漏洞直接控制目标网络内的Windows 域进而控制域内所有 Windows 机器,下文中将此方案称为“攻击方案二”)联系微软官方SRC,当时官方 SRC 表示并不愿意为此问题推出修复补丁(近日有微软官方人员表示将在二月发布安全补丁)。现该方案已被国外安全研究人员公开。
需要注意的是,微软在以下链接中为 CVE-2018-8581 所推出的缓解措施对缓解“攻击方案二”没有任何帮助,其只能在一定情况下缓解“攻击方案一”。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8581
360安全监测与响应中心将持续关注该漏洞进展,并第一时间为您更新该漏洞信息,您也可以关注我们的新公众号获取相关信息以及今后的预警信息。
文档信息
|
文档名称 |
Exchange SSRF 漏洞安全预警通告第三次更新 |
|
关键字 |
Exchange SSRF |
|
发布日期 |
2019年1月22日 |
|
分析团队 |
360安全监测与响应中心 |
漏洞描述
微软的 Exchange 先前被爆出存在SSRF漏洞,漏洞编号为:CVE-2018-8581。近日该漏洞的另一利用方法被国外安全研究人员公开,攻击者利用此漏洞可直接控制目标网络内的 Windows 域进而直接控制域内所有 Windows 机器。
攻击者在已经进入目标网络并且满足以下任一条件后,可尝试触发此漏洞:
1. 拥有目标网络内任意用户的邮箱权限
2. 攻击者已控制目标网络内的任意一台与域内机器在同一网段的机器,并成功针对域内机器发起windows name resolution spoofing 攻击
若漏洞利用成功,可导致目标网络内的 Windows 域被控制,进而导致域内所有 Windows 机器被控制。
风险等级
360安全监测与响应中心风险评级为:高危
预警等级:蓝色预警(一般网络安全预警)
影响范围
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
注:Exchange 权限模型分为 Split Permission Model 与 Shared Permission Model(默认),采用 Split Permission Model 的 Exchange 服务器不受此攻击方案影响。
处置建议
参考建议
1. 参考以下链接将 Exchange 权限模型更改为 Split Permission Model:
https://docs.microsoft.com/en-us/exchange/understanding-split-permissions-exchange-2013-help
https://docs.microsoft.com/en-us/exchange/managing-split-permissions-exchange-2013-help
2. 给所有域控服务器配置 Ldaps Channel Binding。
(注意此操作需要较高的 IT 水平,有可能造成兼容性问题,请联系微软获取详细的操作指南)
检测方案
-
将以下代码保存至域控服务器,文件命名为 check_dcsync.ps1
|
Import-Module ActiveDirectory $Root = [ADSI]"LDAP://RootDSE" $domain = -Join("AD:",$Root.Get("rootDomainNamingContext")) echo $domain cd $domain $AllReplACLs = (Get-AcL).Access | Where-Object {$_.ObjectType -eq '1131f6ad-9c07-11d1-f79f-00c04fc2dcd2' -or $_.ObjectType -eq '1131f6aa-9c07-11d1-f79f-00c04fc2dcd2'}
foreach ($ACLin$AllReplACLs) { $user = New-Object System.Security.Principal.NTAccount($ACL.IdentityReference) $SID = $user.Translate([System.Security.Principal.SecurityIdentifier]) $RID = $SID.ToString().Split("-")[7] if([int]$RID -gt 1000) { Write-Host"Permission to Sync AD granted to:"$ACL.IdentityReference } }
2. 运行 check_dcsync.ps1 3. 如果看到了有用户名输出,说明域内存在具备特殊权限的用户,很可能是遭到了相关的攻击行为导致,需要请求专业安全团队协助调查: |
时间线
[1] 2018-12-31 360安全监测响应中心发布安全预警通告
[2] 2018-12-22 360安全监测响应中心发布安全预警通告第二次更新
[3] 2018-12-22 360安全监测响应中心发布安全预警通告第三次更新
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论