微软Exchange和DHCP服务端组件漏洞预警

栏目: 服务器 · 发布时间: 5年前

内容简介:报告编号:B6-2019-021302报告来源:360-CERT

微软Exchange和DHCP服务端组件漏洞预警

报告编号:B6-2019-021302

报告来源:360-CERT

报告作者:360-CERT

更新日期:2019-02-13

0x00 事件背景

北京时间2019年2月13日6时,微软发布了例行安全更新,修补了IE浏览器、Microsoft Edge、Microsoft Office 和 Microsoft Exchange Server 等产品中的多个漏洞。

本次安全更新,解决了之前的"PrivExchange"问题,2018年11月的 CVE-2018-8581 Microsoft Exchange Server特权提升漏洞 在本次补丁中得到根本解决。

经过360CERT研判,本次公告中的CVE-2019-0686、CVE-2019-0724(Microsoft Exchange Server特权提升漏洞) 和 CVE-2019-0626(Windows DHCP 远程执行代码漏洞)影响广泛,危害严重,需要高度注意。

0x01 漏洞概述

  • CVE-2019-0686、CVE-2019-0724 和 CVE-2018-8581
    • 该组漏洞为Microsoft Exchange Server中的特权提升漏洞。需要开启Exchange Web服务(EWS)和推送通知。要利用此漏洞,攻击者需要进行中间人攻击,将身份验证请求转发到Microsoft Exchange Server模拟其他Exchange用户。成功利用,可以使攻击者取得Exchange服务器中任何用户权限,导致诸如邮件泄露之类的恶意活动。为解决此漏洞,微软将EWS客户端与Exchange Server之间建立的通知消息,使用匿名身份验证机制进行流式处理。CVE-2018-8581 在2018年11月份安全更新中没有给出补丁,只是建议修改NTLM身份验证的注册表值。CVE-2019-0686 和 CVE-2019-0724 是 CVE-2018-8581 两种攻击方法,本次安全更新彻底修补了该漏洞。
  • CVE-2019-0626
    • 该漏洞为Windows Server DHCP服务中存在内存损坏漏洞。没有前置利用条件,攻击者可以将特制数据包发送到DHCP服务器,成功利用可以使攻击者在DHCP服务中运行任意代码。

0x02 漏洞影响

CVE-2019-0686、CVE-2019-0724 和 CVE-2018-8581

影响范围:

  • Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 26
  • Microsoft Exchange Server 2013 Cumulative Update 22
  • Microsoft Exchange Server 2016 Cumulative Update 12
  • Microsoft Exchange Server 2019 Cumulative Update 1

CVE-2019-0626

影响产品:

  • Windows 10 Version 1703 for 32-bit Systems
  • Windows 10 Version 1703 for x64-based Systems
  • Windows 10 Version 1803 for 32-bit Systems
  • Windows 10 Version 1803 for x64-based Systems
  • Windows Server, version 1803  (Server Core Installation)
  • Windows 10 Version 1803 for ARM64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows Server 2019
  • Windows Server 2019  (Server Core installation)
  • Windows 10 Version 1709 for 32-bit Systems
  • Windows 10 Version 1709 for 64-based Systems
  • Windows 10 Version 1709 for ARM64-based Systems
  • Windows Server, version 1709  (Server Core Installation)
  • Windows Server, version 1709  (Server Core Installation)
  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows Server 2016
  • Windows Server 2016  (Server Core installation)
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows 8.1 for 32-bit systems
  • Windows 8.1 for x64-based systems
  • Windows RT 8.1
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for Itanium-Based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)

0x03 安全建议

经过360CERT研判,“PrivExchange” 和 CVE-2019-0626 漏洞影响广泛且危害严重,360CERT建议广大用户尽快进行修补。

两个安全问题都已发布了官方安全补丁。

“PrivExchange”临时修补指南:

阻止创建EWS订阅可以防止EWS泄露Exchange服务器NTLM凭据,从而临时修补CVE-2019-0686。具体操作如下:

  • 创建一个阻止所有EWS订阅的策略:

    New-ThrottlingPolicy -Name NoEwsSubscriptions -ThrottlingPolicyScope Organization -EwsMaxSubscriptions 0`

  • 创建常规策略,该策略可用于将必须具有完整EWS功能的受信任用户列入白名单:

    New-ThrottlingPolicy -Name AllowEwsSubscriptions -ThrottlingPolicyScope Regular -EwsMaxSubscriptions 5000`

  • 将常规策略分配给任何用户:

    Set-Mailbox User1 -ThrottlingPolicy AllowEwsSubscriptions`

限制EWS订阅,并不能从根本上解决问题。360CERT强烈建议安装相关补丁。

0x04 时间线

2019-02-13微软发布例行安全更新

2019-02-13360CERT 研判漏洞,发布漏洞预警公告

0x05 参考链接

  1. MSRC 官方公告

声明:本文来自360CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Python标准库

Python标准库

Doug Hellmann / 刘炽 / 机械工业出版社华章公司 / 2012-6-15 / 139.00元

本书由资深Python专家亲自执笔,Python语言的核心开发人员作序推荐,权威性毋庸置疑。 对于程序员而言,标准库与语言本身同样重要,它好比一个百宝箱,能为各种常见的任务提供完美的解决方案,所以本书是所有Python程序员都必备的工具书!本书以案例驱动的方式讲解了标准库中一百多个模块的使用方法(如何工作)和工作原理(为什么要这样工作),比标准库的官方文档更容易理解(一个简单的示例比一份手册......一起来看看 《Python标准库》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具