注意!Exchange SSRF 漏洞安全预警通告

栏目: 编程工具 · 发布时间: 5年前

内容简介:漏洞描述攻击者在已经进入目标网络并且满足以下任一条件后,可尝试触发此漏洞:

微软的 Exchange 先前被爆出存在 SSRF 漏洞,漏洞编号为: CVE-2018-8581 。此漏洞先前被公开的利用方案可导致攻击者在拥有目标网络一个邮箱权限的情况下接管网络内任何人的收件箱(下文中将此利用方案将被称为“攻击方案一”),造成严重的信息泄露。

360 A-TEAM 一个月前就此漏洞可造成的另一更严重后果(即攻击者可利用此漏洞直接控制目标网络内的 Windows 域进而控制域内所有 Windows 机器,下文中将此方案称为“攻击方案二”)联系微软官方 SRC ,当时官方 SRC 表示并不愿意为此问题推出修复补丁(近日有微软官方人员表示将在二月发布安全补丁)。现该方案已被国外安全研究人员公开。

需要注意的是,微软在以下链接中为 CVE-2018-8581 所推出的缓解措施对缓解“攻击方案二”没有任何帮助,其只能在一定情况下缓解“攻击方案一”。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8581

360

安全监测与响应中心将持续关注该漏洞进展,并第一时间为您更新该漏洞信息,您也可以关注我们的新公众号获取相关信息以及今后的预警信息。

注意!Exchange SSRF 漏洞安全预警通告

文档信息

文档名称

Exchange SSRF 漏洞安全预警通告第三次更新

关键字

Exchange SSRF

发布日期

2019年1月22日

分析团队

360安全监测与响应中心

漏洞描述

微软的 Exchange 先前被爆出存在 SSRF 漏洞,漏洞编号为: CVE-2018-8581 。近日该漏洞的另一利用方法被国外安全研究人员公开,攻击者利用此漏洞可直接控制目标网络内的 Windows 域进而直接控制域内所有 Windows 机器。

攻击者在已经进入目标网络并且满足以下任一条件后,可尝试触发此漏洞:

1.      拥有目标网络内任意用户的邮箱权限

2.      攻击者已控制目标网络内的任意一台与域内机器在同一网段的机器,并成功针对域内机器发起 windows name resolution spoofing 攻击

若漏洞利用成功,可导致目标网络内的 Windows 域被控制,进而导致域内所有 Windows 机器被控制。

风险等级

360安全监测与响应中心风险评级为: 高危

预警等级: 蓝色预警 (一般网络安全预警)

影响范围

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

注: Exchange 权限模型分为 Split Permission Model Shared Permission Model (默认),采用 Split Permission Model Exchange 服务器不受此攻击方案影响。

处置建议

参考建议

1.      参考以下链接将 Exchange 权限模型更改为 Split Permission Model

https://docs.microsoft.com/en-us/exchange/understanding-split-permissions-exchange-2013-help

https://docs.microsoft.com/en-us/exchange/managing-split-permissions-exchange-2013-help

2.      给所有域控服务器配置 Ldaps Channel Binding

(注意此操作需要较高的 IT 水平,有可能造成兼容性问题,请联系微软获取详细的操作指南)

检测方案

  1.     将以下代码保存至域控服务器,文件命名为 check_dcsync.ps1

Import-Module  ActiveDirectory

$Root =  [ ADSI ] "LDAP://RootDSE"

$domain =  -Join( "AD:\" , $Root.Get ( "rootDomainNamingContext" ))

echo $domain

cd $domain

$AllReplACLs =  ( Get-AcL ).Access  | Where-Object {$_ .ObjectType  -eq '1131f6ad-9c07-11d1-f79f-00c04fc2dcd2'  -or $_ .ObjectType -eq '1131f6aa-9c07-11d1-f79f-00c04fc2dcd2' }

foreach ( $ACL in $AllReplACLs )

{

$user = New-Object  System.Security.Principal.NTAccount( $ACL.IdentityReference )

$SID = $user.Translate ([ System.Security.Principal.SecurityIdentifier ])

$RID = $SID.ToString ().Split( "-" )[ 7 ]

if ([ int ] $RID  -gt 1000 )

{

Write-Host "Permission  to Sync AD granted to:" $ACL.IdentityReference

}

}

2.      运行 check_dcsync.ps1

3.      如果看到了有用户名输出,说明域内存在具备特殊权限的用户,很可能是遭到了相关的攻击行为导致,需要请求专业安全团队协助调查:

注意!Exchange SSRF 漏洞安全预警通告

时间线

[1] 2018-12-31 360安全监测响应中心发布安全预警通告

[2] 2018-12-22 360安全监测响应中心发布安全预警通告第二次更新

[3] 2018-12-22 360安全监测响应中心发布安全预警通告第三次更新

注意!Exchange SSRF 漏洞安全预警通告


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Python基础教程

Python基础教程

[挪] Magnus Lie Hetland / 袁国忠 / 人民邮电出版 / 2018-2-1 / CNY 99.00

本书包括Python程序设计的方方面面:首先从Python的安装开始,随后介绍了Python的基础知识和基本概念,包括列表、元组、字符串、字典以及各种语句;然后循序渐进地介绍了一些相对高级的主题,包括抽象、异常、魔法方法、属性、迭代器;此后探讨了如何将Python与数据库、网络、C语言等工具结合使用,从而发挥出Python的强大功能,同时介绍了Python程序测试、打包、发布等知识;最后,作者结合......一起来看看 《Python基础教程》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具