内容简介:漏洞描述攻击者在已经进入目标网络并且满足以下任一条件后,可尝试触发此漏洞:
微软的 Exchange 先前被爆出存在 SSRF 漏洞,漏洞编号为: CVE-2018-8581 。此漏洞先前被公开的利用方案可导致攻击者在拥有目标网络一个邮箱权限的情况下接管网络内任何人的收件箱(下文中将此利用方案将被称为“攻击方案一”),造成严重的信息泄露。
360 A-TEAM 一个月前就此漏洞可造成的另一更严重后果(即攻击者可利用此漏洞直接控制目标网络内的 Windows 域进而控制域内所有 Windows 机器,下文中将此方案称为“攻击方案二”)联系微软官方 SRC ,当时官方 SRC 表示并不愿意为此问题推出修复补丁(近日有微软官方人员表示将在二月发布安全补丁)。现该方案已被国外安全研究人员公开。
需要注意的是,微软在以下链接中为 CVE-2018-8581 所推出的缓解措施对缓解“攻击方案二”没有任何帮助,其只能在一定情况下缓解“攻击方案一”。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8581
360安全监测与响应中心将持续关注该漏洞进展,并第一时间为您更新该漏洞信息,您也可以关注我们的新公众号获取相关信息以及今后的预警信息。
文档信息
文档名称 |
Exchange SSRF 漏洞安全预警通告第三次更新 |
关键字 |
Exchange SSRF |
发布日期 |
2019年1月22日 |
分析团队 |
360安全监测与响应中心 |
漏洞描述
微软的 Exchange 先前被爆出存在 SSRF 漏洞,漏洞编号为: CVE-2018-8581 。近日该漏洞的另一利用方法被国外安全研究人员公开,攻击者利用此漏洞可直接控制目标网络内的 Windows 域进而直接控制域内所有 Windows 机器。
攻击者在已经进入目标网络并且满足以下任一条件后,可尝试触发此漏洞:
1. 拥有目标网络内任意用户的邮箱权限
2. 攻击者已控制目标网络内的任意一台与域内机器在同一网段的机器,并成功针对域内机器发起 windows name resolution spoofing 攻击
若漏洞利用成功,可导致目标网络内的 Windows 域被控制,进而导致域内所有 Windows 机器被控制。
风险等级
360安全监测与响应中心风险评级为: 高危
预警等级: 蓝色预警 (一般网络安全预警)
影响范围
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
注: Exchange 权限模型分为 Split Permission Model 与 Shared Permission Model (默认),采用 Split Permission Model 的 Exchange 服务器不受此攻击方案影响。
处置建议
参考建议
1. 参考以下链接将 Exchange 权限模型更改为 Split Permission Model :
https://docs.microsoft.com/en-us/exchange/understanding-split-permissions-exchange-2013-help
https://docs.microsoft.com/en-us/exchange/managing-split-permissions-exchange-2013-help
2. 给所有域控服务器配置 Ldaps Channel Binding 。
(注意此操作需要较高的 IT 水平,有可能造成兼容性问题,请联系微软获取详细的操作指南)
检测方案
-
将以下代码保存至域控服务器,文件命名为 check_dcsync.ps1
Import-Module ActiveDirectory
$Root = [ ADSI ] "LDAP://RootDSE"
$domain = -Join( "AD:\" , $Root.Get ( "rootDomainNamingContext" ))
echo $domain
cd $domain
$AllReplACLs = ( Get-AcL ).Access | Where-Object {$_ .ObjectType -eq '1131f6ad-9c07-11d1-f79f-00c04fc2dcd2' -or $_ .ObjectType -eq '1131f6aa-9c07-11d1-f79f-00c04fc2dcd2' }
foreach ( $ACL in $AllReplACLs )
{
$user = New-Object System.Security.Principal.NTAccount( $ACL.IdentityReference )
$SID = $user.Translate ([ System.Security.Principal.SecurityIdentifier ])
$RID = $SID.ToString ().Split( "-" )[ 7 ]
if ([ int ] $RID -gt 1000 )
{
Write-Host "Permission to Sync AD granted to:" $ACL.IdentityReference
}
}
2. 运行 check_dcsync.ps1
3. 如果看到了有用户名输出,说明域内存在具备特殊权限的用户,很可能是遭到了相关的攻击行为导致,需要请求专业安全团队协助调查:
时间线
[1] 2018-12-31 360安全监测响应中心发布安全预警通告
[2] 2018-12-22 360安全监测响应中心发布安全预警通告第二次更新
[3] 2018-12-22 360安全监测响应中心发布安全预警通告第三次更新
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)
- 漏洞预警 | ThinkPHP5远程命令执行漏洞
- Influxdb 认证绕过漏洞预警
- 漏洞预警 | MetInfo最新版本爆出SQL注入漏洞
- 【漏洞预警】Coremail邮件系统配置文件信息泄露漏洞
- 【漏洞预警】Joomla!3.7.0 Core SQL注入漏洞
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。