Microsoft Office Online Server对SSRF-to-RCE漏洞开放

据安全研究人员称，可以利用运行 Microsoft Office Online Server的Windows服务器来实现服务器端请求伪造(SSRF)，然后在主机上实现远程代码执行(RCE)。来自MDSec的研究人员表示，他们已将他们的发现通知了Microsoft安全响应中心，但被告知该易受攻击的行为不是错误，而是Office Online Server的一个功能，因此不会修复。

根据MDSec的说法，微软建议管理员“锁定该服务器场上的端口和任何帐户，使其具有最低权限”，以避免对连接Internet的Office Online主机的攻击。

管理员还可以将服务的OpenFromUNCEnabled标志设置为false，以防止通过UNC路径访问文件，这是用于攻击服务器的功能。

Office Online Server是一项ASP.NET服务，它提供基于浏览器的Word、Excel、PowerPoint和OneNote 版本。Office Online通过SharePoint、Exchange Server、共享文件夹和网站提供对Office文件的访问。

Office Online有一个.aspx页面，用于从远程资源中检索文档。根据安全公司MDSec的技术文章，攻击者可以使用此端点通过服务器发起与远程资源的连接并执行SSRF。

例如，研究人员发现他们可以向页面发送未经身份验证的GET请求，以对服务器本地网络的设备进行指纹识别。根据响应的时间，他们可以识别服务器网络中的活动IP地址。

如果攻击者控制了Office Online Server可以访问的SMB服务器，他们可以进一步利用该漏洞。

Office Online Server使用其计算机帐户来启动与远程资源的连接。当使用端点检索其SMB服务器上的文档时，研究人员可以使用工具ntlmrelayx强制服务器将连接中继到Active Directory证书服务(ACDS)并检索Active Directory网络的客户端证书。

使用此证书，他们能够获得到Office Online Server主机的Ticket-Granting Ticket(TGT) - 一个登录会话令牌。他们使用TGT发送S4U2Self请求以向服务器伪造服务票证。这使他们能够获得对主机的本地管理员访问权限。

根据研究人员的发现，还有另一种途径可以通过将端点连接中继到LDAP服务并执行影子凭证攻击来获得对服务器的远程访问。

原文始发于微信公众号（郑州网络安全）：Microsoft Office Online Server对SSRF-to-RCE漏洞开放