Microsoft Exchange远程代码执行漏洞安全通告

一、漏洞名称

MicrosoftExchange远程代码执行漏洞

二、漏洞编号

CVE-2020-0688

三、漏洞背景

2020年2月11日，Microsoft发布了重要级别的补丁程序，以解决Microsoft Exchange Server中的远程代码执行漏洞（CVE-2020-0688）。攻击者可以通过发送特制电子邮件来在受影响的Exchange服务器上执行任意代码、随意窃取或伪造公司电子邮件通信。攻击过程不需要用户交互，攻击成功可获得完整的Exchange服务器控制权限。

目前此漏洞的POC（攻击演示代码）已被公开，有被恶意利用的可能。鉴于漏洞危害较大，建议用户尽快升级安装补丁程序。

四、漏洞详情

漏洞发生在 Exchange 控制面板（ECP）组件中，当服务器在安装时无法正确创建唯一密钥时，Microsoft Exchange Server中将存在一个远程代码执行漏洞。

该漏洞是由于Exchange控制面板（ECP）组件中使用了静态密钥（validationKey和decryptionKey）。这些密钥用于为ViewState提供安全性。ViewState是ASP.NET Web应用程序在客户端上以序列化格式存储的服务器端数据。客户端通过__VIEWSTATE请求参数将此数据传回服务器。经过身份验证的攻击者可以诱使服务器反序列化恶意制作的ViewState数据，从而在Exchange控制面板Web应用程序的上下文中执行任意.NET代码。由于Exchange控制面板Web应用程序是以SYSTEM权限运行，因而成功利用此漏洞的攻击者可以以SYSTEM身份执行任意代码，并完全破坏目标Exchange服务器。

五、危害影响

Microsoft Exchange Server 2010 Service Pack 3 UpdateRollup 30

Microsoft Exchange Server 2013 Cumulative Update 23

Microsoft Exchange Server 2016 Cumulative Update 14

Microsoft Exchange Server 2016 Cumulative Update 15

Microsoft Exchange Server 2019 Cumulative Update 3

Microsoft Exchange Server 2019 Cumulative Update 4

六、修复建议

目前，微软官方已发布补丁程序，建议用户尽快安装：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688

疫情肆虐，战“疫”有我，嘉诚安全在行动！

疫情期间，嘉诚公司网络安全事业部为客户提供7*24h实时安全监测和防护服务，对政府、医疗、金融等行业疫情一线的客户进行重点监测，及时推送安全风险提示信息及安全加固整改建议，重点保障客户应急指挥系统、视频会议系统、即时通讯等系统的有效运行，嘉诚公司与客户共同作战，网络安全事业部全员在岗，采用弹性工作制的形式，为广大疫情一线用户提供安全应急及安全咨询服务。

欢迎致电：400-004-1995、13756909388、18626682470。

原文始发于微信公众号（嘉诚安全）：Microsoft Exchange远程代码执行漏洞安全通告