Exchange域内提权高危漏洞安全通告
发布时间 2019-01-23漏洞编号和级别
CVE编号:CVE-2018-8581,危险级别:高危, CVSS分值:官方:7.4
影响范围
受影响版本:
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
注:Exchange 权限模型分为 Split Permission Model 与 Shared Permission Model(默认),采用 Split Permission Model 的 Exchange 服务器不受此攻击方案影响。
漏洞概述
Microsoft Exchange Server是微软公司的一套电子邮件服务组件。除传统的电子邮件的存取、储存、转发作用外,在新版本的产品中亦加入了一系列辅助功能,如语音邮件、邮件过滤筛选和OWA(基于Web的电子邮件存取)。Exchange Server支持多种电子邮件网络协议,如SMTP、NNTP、POP3和IMAP4。Exchange Server能够与微软公司的活动目录完美结合。
微软的 Exchange 先前被爆出存在SSRF漏洞,漏洞编号为:CVE-2018-8581。近日该漏洞的另一利用方法被国外安全研究人员公开并且附带了POC,攻击者利用此漏洞可直接控制目标网络内的 Windows 域进而直接控制域内所有 Windows 机器。目前微软官方还没有推送出最新的补丁来防止该攻击方式,并且微软针对CVE-2018-8581的补丁也不能防御该攻击方式来获取域控权限。
漏洞验证
漏洞利用条件:拥有域内任意账户的邮箱帐号密码并且Exchange服务器使用了Shared permission模型(默认启用)。POC:https://github.com/dirkjanm/PrivExchange。
修复建议
1. 参考以下链接将 Exchange 权限模型更改为 Split Permission Model:
https://docs.microsoft.com/en-us/exchange/understanding-split-permissions-exchange-2013-help
https://docs.microsoft.com/en-us/exchange/managing-split-permissions-exchange-2013-help
2. 在域控制器上开启smb签名检验(若域内有WindowsNT或以下机器需要SMB校验不推荐使用)
运行注册表编辑器 (Regedt32.exe)。
HKEY_LOCAL_MACHIME\System\CurrentControlSet\Services\LanManServer\Paramete中将 EnableSecuritySignature 跟 RequireSecuritySignature 的值都改为1然后确定并重新启动Windows。
或者将下面命令保存成批处理在域控机器上以管理员权限运行,运行成功后重启域控服务器。
reg add"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanWorkStation\Parameters"/v "RequireSecuritySignature" /t REG_DWORD /d 1 /f
reg add"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanWorkStation\Parameters"/v "EnableSecuritySignature" /t REG_DWORD /d 1 /f
reg add"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters"/v "RequireSecuritySignature" /t REG_DWORD /d 1 /f
reg add"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters"/v "EnableSecuritySignature" /t REG_DWORD /d 1 /f
参考链接
https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/
https://github.com/dirkjanm/PrivExchange
京公网安备11010802024551号