微软Exchange和DHCP服务端组件漏洞预警

栏目: 服务器 · 发布时间: 5年前

内容简介:报告编号:B6-2019-021302报告来源:360-CERT

微软Exchange和DHCP服务端组件漏洞预警

报告编号:B6-2019-021302

报告来源:360-CERT

报告作者:360-CERT

更新日期:2019-02-13

0x00 事件背景

北京时间2019年2月13日6时,微软发布了例行安全更新,修补了IE浏览器、Microsoft Edge、Microsoft Office 和 Microsoft Exchange Server 等产品中的多个漏洞。

本次安全更新,解决了之前的"PrivExchange"问题,2018年11月的 CVE-2018-8581 Microsoft Exchange Server特权提升漏洞 在本次补丁中得到根本解决。

经过360CERT研判,本次公告中的CVE-2019-0686、CVE-2019-0724(Microsoft Exchange Server特权提升漏洞) 和 CVE-2019-0626(Windows DHCP 远程执行代码漏洞)影响广泛,危害严重,需要高度注意。

0x01 漏洞概述

  • CVE-2019-0686、CVE-2019-0724 和 CVE-2018-8581
    • 该组漏洞为Microsoft Exchange Server中的特权提升漏洞。需要开启Exchange Web服务(EWS)和推送通知。要利用此漏洞,攻击者需要进行中间人攻击,将身份验证请求转发到Microsoft Exchange Server模拟其他Exchange用户。成功利用,可以使攻击者取得Exchange服务器中任何用户权限,导致诸如邮件泄露之类的恶意活动。为解决此漏洞,微软将EWS客户端与Exchange Server之间建立的通知消息,使用匿名身份验证机制进行流式处理。CVE-2018-8581 在2018年11月份安全更新中没有给出补丁,只是建议修改NTLM身份验证的注册表值。CVE-2019-0686 和 CVE-2019-0724 是 CVE-2018-8581 两种攻击方法,本次安全更新彻底修补了该漏洞。
  • CVE-2019-0626
    • 该漏洞为Windows Server DHCP服务中存在内存损坏漏洞。没有前置利用条件,攻击者可以将特制数据包发送到DHCP服务器,成功利用可以使攻击者在DHCP服务中运行任意代码。

0x02 漏洞影响

CVE-2019-0686、CVE-2019-0724 和 CVE-2018-8581

影响范围:

  • Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 26
  • Microsoft Exchange Server 2013 Cumulative Update 22
  • Microsoft Exchange Server 2016 Cumulative Update 12
  • Microsoft Exchange Server 2019 Cumulative Update 1

CVE-2019-0626

影响产品:

  • Windows 10 Version 1703 for 32-bit Systems
  • Windows 10 Version 1703 for x64-based Systems
  • Windows 10 Version 1803 for 32-bit Systems
  • Windows 10 Version 1803 for x64-based Systems
  • Windows Server, version 1803  (Server Core Installation)
  • Windows 10 Version 1803 for ARM64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows Server 2019
  • Windows Server 2019  (Server Core installation)
  • Windows 10 Version 1709 for 32-bit Systems
  • Windows 10 Version 1709 for 64-based Systems
  • Windows 10 Version 1709 for ARM64-based Systems
  • Windows Server, version 1709  (Server Core Installation)
  • Windows Server, version 1709  (Server Core Installation)
  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows Server 2016
  • Windows Server 2016  (Server Core installation)
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows 8.1 for 32-bit systems
  • Windows 8.1 for x64-based systems
  • Windows RT 8.1
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for Itanium-Based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)

0x03 安全建议

经过360CERT研判,“PrivExchange” 和 CVE-2019-0626 漏洞影响广泛且危害严重,360CERT建议广大用户尽快进行修补。

两个安全问题都已发布了官方安全补丁。

“PrivExchange”临时修补指南:

阻止创建EWS订阅可以防止EWS泄露Exchange服务器NTLM凭据,从而临时修补CVE-2019-0686。具体操作如下:

  • 创建一个阻止所有EWS订阅的策略:

    New-ThrottlingPolicy -Name NoEwsSubscriptions -ThrottlingPolicyScope Organization -EwsMaxSubscriptions 0`

  • 创建常规策略,该策略可用于将必须具有完整EWS功能的受信任用户列入白名单:

    New-ThrottlingPolicy -Name AllowEwsSubscriptions -ThrottlingPolicyScope Regular -EwsMaxSubscriptions 5000`

  • 将常规策略分配给任何用户:

    Set-Mailbox User1 -ThrottlingPolicy AllowEwsSubscriptions`

限制EWS订阅,并不能从根本上解决问题。360CERT强烈建议安装相关补丁。

0x04 时间线

2019-02-13微软发布例行安全更新

2019-02-13360CERT 研判漏洞,发布漏洞预警公告

0x05 参考链接

  1. MSRC 官方公告

声明:本文来自360CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

图形程序开发人员指南

图形程序开发人员指南

Michael Abrash / 前导工作室 / 机械工业出版社 / 1998 / 128

Michael Abrash's classic Graphics Programming Black Book is a compilation of Michael's previous writings on assembly language and graphics programming (including from his "Graphics Programming" column......一起来看看 《图形程序开发人员指南》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器