网络安全预警通报

2019年第1期  （总第1期）

长江大学互联网与信息中心

2019年3月21日

【预警类型】漏洞预警

【预警内容】Exchange SSRF 权限提升漏洞安全预警通告 

微软的 Exchange 服务被发现存在 SSRF 权限提升漏洞，漏洞编号为：CVE -2018-8581，通过利用此漏洞可造成严重后果。

一、漏洞情况分析 

微软的 Exchange 服务被发现存在 SSRF 权限提升漏洞，漏洞编号为：CVE -2018-8581。攻击者在已经控制了目标至少一个邮箱的访问权限的前提下，通过利用此漏洞，可以越权接收到任何人的邮件，继而可造成十分严重的信息泄露或其他严重安全事件。

二、漏洞影响范围

漏洞影响的产品版本包括：

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019  

三、漏洞处置建议

微软官方已发布修复此漏洞的补丁：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018 -8581 根据以上官方链接，通过在受影响的 Exchange 服务器执行如下命令，可修复漏洞： reg delete KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa /v DisableLoopbackCheck /f 

但是，该补丁未并真正修复本次的根源漏洞：即 Exchange 存在的 SSRF 漏 洞。它所尝试修复的是利用此 SSRF 进行 NTLM-RELAY 进而导致的凭据窃取问 题（详情见技术分析）。

四、漏洞处置建议

该漏洞实质是由 SSRF （Server-Side Request Forgery：服务器端请求伪造）漏洞和其他安全机制相结合造成的。Exchange 允许任何用户为推送订阅指定所需的 URL，服务器将尝试向这个 URL 发送通知，此行为造成 SSRF 漏洞。且 Exchange 服务器在向指定的 URL 发送通知时，在需要的情况下 Exchange 会自动向此 URL 进行 401 身份认证。认证的其中一种方式为 NTLM 认证。且因为 Exchange 服务在与目标 URL 进行 401 认证时所使用的默认凭据为 CredentialCache.DefaultCredentials 且 Exchange 服务默认由 SYSTEM 账号启动， 所以攻击者通过利用此 SSRF 漏洞，可以窃取 Exchange 服务器的系统账号凭据并伴随利用 NTLM-RELAY 技术将此凭据重放至 Exchange 服务器的 EWS 接口，从而获得一个高权限的 EWS 会话。 该高权限的会话允许攻击者在后续访问 EWS 接口时模拟成任何用户，并最终可以接收到任何用户今后所接收到的任何邮件。

附：参考链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2