一、漏洞名称
MicrosoftExchange远程代码执行漏洞
二、漏洞编号
CVE-2020-0688
三、漏洞背景
2020年2月11日,Microsoft发布了重要级别的补丁程序,以解决Microsoft Exchange Server中的远程代码执行漏洞(CVE-2020-0688)。攻击者可以通过发送特制电子邮件来在受影响的Exchange服务器上执行任意代码、随意窃取或伪造公司电子邮件通信。攻击过程不需要用户交互,攻击成功可获得完整的Exchange服务器控制权限。
目前此漏洞的POC(攻击演示代码)已被公开,有被恶意利用的可能。鉴于漏洞危害较大,建议用户尽快升级安装补丁程序。
四、漏洞详情
漏洞发生在 Exchange 控制面板(ECP)组件中,当服务器在安装时无法正确创建唯一密钥时,Microsoft Exchange Server中将存在一个远程代码执行漏洞。
该漏洞是由于Exchange控制面板(ECP)组件中使用了静态密钥(validationKey和decryptionKey)。这些密钥用于为ViewState提供安全性。ViewState是ASP.NET Web应用程序在客户端上以序列化格式存储的服务器端数据。客户端通过__VIEWSTATE请求参数将此数据传回服务器。经过身份验证的攻击者可以诱使服务器反序列化恶意制作的ViewState数据,从而在Exchange控制面板Web应用程序的上下文中执行任意.NET代码。由于Exchange控制面板Web应用程序是以SYSTEM权限运行,因而成功利用此漏洞的攻击者可以以SYSTEM身份执行任意代码,并完全破坏目标Exchange服务器。
五、危害影响
Microsoft Exchange Server 2010 Service Pack 3 UpdateRollup 30
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 14
Microsoft Exchange Server 2016 Cumulative Update 15
Microsoft Exchange Server 2019 Cumulative Update 3
Microsoft Exchange Server 2019 Cumulative Update 4
六、修复建议
目前,微软官方已发布补丁程序,建议用户尽快安装:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688
原文始发于微信公众号(嘉诚安全):Microsoft Exchange远程代码执行漏洞安全通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论