Microsoft Exchange远程代码执行漏洞风险通告
发布时间 2020-02-26漏洞编号和级别
CVE编号:CVE-2020-0688,危险级别:高危,CVSS分值:官方未评定
影响版本
Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 14
Microsoft Exchange Server 2016 Cumulative Update 15
Microsoft Exchange Server 2019 Cumulative Update 3
Microsoft Exchange Server 2019 Cumulative Update 4
漏洞概述
2020年2月11日,Microsoft发布了针对Microsoft Exchange Server中的远程代码执行漏洞(CVE-2020-0688)的补丁程序。利用这个漏洞,攻击者可通过Exchange服务上的普通用户权限,接管整个Exchange服务器。目前此漏洞的利用细节已经在互联网公开。
漏洞发生在 Exchange Control Panel (ECP)组件中。与每次软件安装都会产生随机密钥不同,所有Microsoft Exchange Server在安装后的web.config文件中都拥有相同的validationKey和decryptionKey。这些密钥用于保证ViewState的安全性。而ViewState是ASP.NET Web应用以序列化格式存储在客户机上的服务端数据。客户端通过__VIEWSTATE请求参数将这些数据返回给服务器。由于使用了静态密钥,经过身份验证的攻击者可以欺骗目标服务器反序列化恶意创建的ViewState数据。当攻击者可以登录Exchange邮箱账户时,在YSoSerial.net的帮助下,可以在Exchange Control Panel web应用上执行任意代码。
漏洞验证
PoC:https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys。
修复建议
目前,微软官方已发布针对受影响版本的补丁程序,建议用户尽快安装:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688。
参考链接
https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys
京公网安备11010802024551号