溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

Exchange server 產(chǎn)品被爆史上最嚴重安全漏洞解決方案

發(fā)布時間:2020-05-26 08:53:24 來源:網(wǎng)絡(luò) 閱讀:3008 作者:ljb_job 欄目:建站服務(wù)器

據(jù)微軟中國企業(yè)服務(wù)首席解決方案專家、微軟大師張美波分享的信息:Trend Micro 發(fā)現(xiàn)了Exchange Server 產(chǎn)品歷史上最為嚴重的系統(tǒng)漏洞,發(fā)送一封特定格式的郵件即可遠程以系統(tǒng)賬戶執(zhí)行任意代碼,相關(guān)信息可以參考以下微軟安全公告:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8302
關(guān)于這個 Exchange Server 的安全漏洞,今天已經(jīng)正式發(fā)布了相關(guān)更新:
1、針對 Exchange Server 2010 的安全更新,是通過ExchangeServer 2010 SP3 RU23 實現(xiàn),只要 Exchange Server 2010 是 SP3 及以上版本即可安裝,下載地址為:
UpdateRollup 23 for Exchange Server 2010 Service Pack 3
https://www.microsoft.com/en-us/download/details.aspx?id=57219

2、針對 Exchange Server 2013 和 Exchange Server 2016,由于我們從 Exchange Server 2013 開始修改了產(chǎn)品支持模式,每個季度發(fā)布一次累計更新(CU),而僅支持最近的兩個 CU 版本,因此僅針對目前支持的 Exchange Server 2013 CU20/CU21、ExchangeServer 2016 CU9/CU10 發(fā)布了安裝更新。如果需要安裝該安全更新,首先需要將 ExchangeServer 2013、Exchange Server 2016 安裝到對應(yīng)支持的 CU 版本,然后才能安裝該更新。下載地址為:
Descriptionof the security update for Microsoft Exchange Server 2013 and 2016: August 14,2018
https://support.microsoft.com/en-us/help/4340731/description-of-the-security-update-for-microsoft-exchange-server-2013

   發(fā)現(xiàn)這個安全問題的 Trend Micro ZeroDay Initiative 團隊發(fā)布了一篇Blog,對該安全問題進行了詳細的描述。注意目前×××代碼已經(jīng)可能外泄了。
   對方文章和POC×××代碼相關(guān)重點:

1、目前 POC ×××代碼需要依賴于Exchange Server 的UM角色。注意這個角色在Exchange Server 2010 中是獨立安裝的服務(wù)器角色,在 Exchange Server2013/2016 中是集成安裝的服務(wù)器角色;
2、***者需要預(yù)先上傳惡意×××代碼(.NET serializationpayload)到目標(biāo)用戶郵箱(×××代碼中是通過EWS上傳;需經(jīng)過身份驗證,例如上傳到自己的用戶郵箱),并修改用戶郵箱收件箱文件夾的件夾的TopNWords.Data屬性(公屬性(公共屬性,通過身份驗證的用戶即可修改自身郵箱中的對應(yīng)屬性);Trend Micro Zero Day Initiative 團隊認為微軟的安全更新中,禁止了用戶去訪問去訪問TopNWords.Data屬性(目屬性(目前尚未得到 Exchange產(chǎn)品組的確認)。
3、***者發(fā)送語音郵件到對應(yīng)的目標(biāo)用戶郵箱,觸發(fā) Exchange 服務(wù)器對語音郵件進行轉(zhuǎn)換處理;
4、此時,觸發(fā)執(zhí)行之前***者上傳的惡意×××代碼,以本地系統(tǒng)賬戶執(zhí)行。
相關(guān)Blog請訪問以下地址:
https://www.zerodayinitiative.com/blog/2018/8/14/voicemail-vandalism-getting-remote-code-execution-on-microsoft-exchange-server

關(guān)于上述流程中:
1、TopN Words 是掃描、分析并記錄用戶所使用的最常用的詞語信息,通過 TopN Words Assistant 實現(xiàn);
2、TopN Words Assistant 不定期(近乎實時)掃描用戶郵箱中的語音郵件,并實現(xiàn)其功能;
3、TopN Words Assistant 集成在Microsoft Exchange Mailbox Assistants服務(wù)中,隸屬于Exchange Server MBX 服務(wù)器角色上的服務(wù);
4、 Microsoft Exchange Mailbox Assistants服務(wù)運行在本地系統(tǒng)賬戶之下。
按照慣例,POC×××代碼泄露之后,可能會被分析利用并進一步加以擴大×××范圍,因此請大家一定要及時安裝相關(guān)更新。
后續(xù)有更新信息再通知大家。希望大家盡快關(guān)注并轉(zhuǎn)發(fā),做好相關(guān)防護工作……

向AI問一下細節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI