↑ 点击上方“安全狗”关注我们
微软应急响应中心(MSRC)于近日公布了一则关于Microsoft Exchange Server的远程任意代码执行漏洞的信息(非特权Exchange用户可以通过 .NET BinaryFormatter 反序列化漏洞在Exchange Server中以“NT AUTHORITY \ SYSTEM”运行任意代码),该漏洞的CVE编号为CVE-2018-8302。
01
由于Microsoft Exchange未能正确处理内存中的对象导致一个远程代码执行漏洞。成功利用该漏洞的攻击者可以在Exchange服务器上以system权限允许任意代码,从而可以执行安装程序,查看,修改或删除数据,以及创建新账户等操作。
该漏洞的利用存在一定的先决条件:
1、Exchange Server配置启动统一消息功能(Unified Messaging)。
2、 攻击者获取到一个能使用 UM voice 的邮箱账号权限。
02
根据目前掌握的情况,我们认为该漏洞处于高危级别,后续我们将进行更进一步的研究和甄别。
03
官方提供的受影响的版本如下
Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 23
Microsoft Exchange Server 2013 Cumulative Update 20
Microsoft Exchange Server 2013 Cumulative Update 21
Microsoft Exchange Server 2016 Cumulative Update 10
Microsoft Exchange Server 2016 Cumulative Update 9
需要提醒用户注意的是,未在以上列表中的版本,可能是因为不存在漏洞,也可能是因为超出了版本的生命周期。
04
漏洞涉及的恶意数据位于名为TopNWords.Data的收件箱属性中,此数据是存储于Exchange服务器上的用户邮箱账号的一个公开属性,因此用户可以通过Exchange Web服务(EWS)进行更改,故而攻击者可以将恶意数据存入TopNWords.Data中。
Exchange收到语音邮件后,如果启动了UM功能,Exchange会尝试将语言转录为文本以显示在收件人的收件箱中。为了执行转录,Exchange读取用户收件箱配置的TopNWords.Data属性,并使用.NET BinaryFormatter对TopNWords.Data进行反序列化以获取文本到语音转换组件。
攻击者可以构造恶意代码置于TopNWords.Data中,Exchange在反序列化时即执行攻击者的恶意代码。
05
微软官方已在漏洞详情中提供了各手邮箱版本的更新补丁,通过更正Microsoft Exchange处理内存中对象的方式来修复此漏洞,请受影响用户尽快下载更新避免此漏洞带来的风险。
点击阅读原文
注册服云帐号
享受更专业的云安全服务!
往期精彩文章:
【企业动态】安全狗CEO陈奋:如何构建智能的云计算基础设施安全平台?
【安全预警】高危安全预警50期:Weblogic反序列化远程代码执行漏洞
【实事追踪】并不是所有的“生活”都需要“分享”:个人信息保护之痛
【企业动态】青岛公安致谢安全狗:上合峰会网络安保这场硬仗,打得漂亮!
