注意!Exchange SSRF 漏洞安全预警通告

栏目: 编程工具 · 发布时间: 5年前

内容简介:漏洞描述攻击者在已经进入目标网络并且满足以下任一条件后,可尝试触发此漏洞:

微软的 Exchange 先前被爆出存在 SSRF 漏洞,漏洞编号为: CVE-2018-8581 。此漏洞先前被公开的利用方案可导致攻击者在拥有目标网络一个邮箱权限的情况下接管网络内任何人的收件箱(下文中将此利用方案将被称为“攻击方案一”),造成严重的信息泄露。

360 A-TEAM 一个月前就此漏洞可造成的另一更严重后果(即攻击者可利用此漏洞直接控制目标网络内的 Windows 域进而控制域内所有 Windows 机器,下文中将此方案称为“攻击方案二”)联系微软官方 SRC ,当时官方 SRC 表示并不愿意为此问题推出修复补丁(近日有微软官方人员表示将在二月发布安全补丁)。现该方案已被国外安全研究人员公开。

需要注意的是,微软在以下链接中为 CVE-2018-8581 所推出的缓解措施对缓解“攻击方案二”没有任何帮助,其只能在一定情况下缓解“攻击方案一”。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8581

360

安全监测与响应中心将持续关注该漏洞进展,并第一时间为您更新该漏洞信息,您也可以关注我们的新公众号获取相关信息以及今后的预警信息。

注意!Exchange SSRF 漏洞安全预警通告

文档信息

文档名称

Exchange SSRF 漏洞安全预警通告第三次更新

关键字

Exchange SSRF

发布日期

2019年1月22日

分析团队

360安全监测与响应中心

漏洞描述

微软的 Exchange 先前被爆出存在 SSRF 漏洞,漏洞编号为: CVE-2018-8581 。近日该漏洞的另一利用方法被国外安全研究人员公开,攻击者利用此漏洞可直接控制目标网络内的 Windows 域进而直接控制域内所有 Windows 机器。

攻击者在已经进入目标网络并且满足以下任一条件后,可尝试触发此漏洞:

1.      拥有目标网络内任意用户的邮箱权限

2.      攻击者已控制目标网络内的任意一台与域内机器在同一网段的机器,并成功针对域内机器发起 windows name resolution spoofing 攻击

若漏洞利用成功,可导致目标网络内的 Windows 域被控制,进而导致域内所有 Windows 机器被控制。

风险等级

360安全监测与响应中心风险评级为: 高危

预警等级: 蓝色预警 (一般网络安全预警)

影响范围

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

注: Exchange 权限模型分为 Split Permission Model Shared Permission Model (默认),采用 Split Permission Model Exchange 服务器不受此攻击方案影响。

处置建议

参考建议

1.      参考以下链接将 Exchange 权限模型更改为 Split Permission Model

https://docs.microsoft.com/en-us/exchange/understanding-split-permissions-exchange-2013-help

https://docs.microsoft.com/en-us/exchange/managing-split-permissions-exchange-2013-help

2.      给所有域控服务器配置 Ldaps Channel Binding

(注意此操作需要较高的 IT 水平,有可能造成兼容性问题,请联系微软获取详细的操作指南)

检测方案

  1.     将以下代码保存至域控服务器,文件命名为 check_dcsync.ps1

Import-Module  ActiveDirectory

$Root =  [ ADSI ] "LDAP://RootDSE"

$domain =  -Join( "AD:\" , $Root.Get ( "rootDomainNamingContext" ))

echo $domain

cd $domain

$AllReplACLs =  ( Get-AcL ).Access  | Where-Object {$_ .ObjectType  -eq '1131f6ad-9c07-11d1-f79f-00c04fc2dcd2'  -or $_ .ObjectType -eq '1131f6aa-9c07-11d1-f79f-00c04fc2dcd2' }

foreach ( $ACL in $AllReplACLs )

{

$user = New-Object  System.Security.Principal.NTAccount( $ACL.IdentityReference )

$SID = $user.Translate ([ System.Security.Principal.SecurityIdentifier ])

$RID = $SID.ToString ().Split( "-" )[ 7 ]

if ([ int ] $RID  -gt 1000 )

{

Write-Host "Permission  to Sync AD granted to:" $ACL.IdentityReference

}

}

2.      运行 check_dcsync.ps1

3.      如果看到了有用户名输出,说明域内存在具备特殊权限的用户,很可能是遭到了相关的攻击行为导致,需要请求专业安全团队协助调查:

注意!Exchange SSRF 漏洞安全预警通告

时间线

[1] 2018-12-31 360安全监测响应中心发布安全预警通告

[2] 2018-12-22 360安全监测响应中心发布安全预警通告第二次更新

[3] 2018-12-22 360安全监测响应中心发布安全预警通告第三次更新

注意!Exchange SSRF 漏洞安全预警通告


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

内容算法

内容算法

闫泽华 / 中信出版社 / 2018-4-30 / 58.00元

近两年来,伴随着BAT纷纷涌入自媒体平台,自媒体发展可谓迎来爆发。自媒体平台火爆起来是从今日头条异军突起而引发的。它是一款基于数据挖掘的推荐引擎产品,为用户推荐有价值的、个性化的信息,是国内移动互联网领域成长最快的产品服务之一。推荐引擎也将迎来高速发展,针对推荐引擎的优化技术也将会迎来新的机遇。 本书作者从事推荐引擎相关的内容分发相关工作,在书中对内容推荐系统进行了介绍,书的最后,介绍了自媒......一起来看看 《内容算法》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码