Microsoft Exchange Server特权提升漏洞(CVE-2019-0686、CVE-2019-0724)预警

2019-02-14 15:24:42
本月微软安全公告日,微软的消息与协作系统Exchange Server再被披露出一组高危提权漏洞CVE-2019-0686和CVE-2019-0724。这组提权漏洞是源于2018年11月被微软公布但实际上未被真正修复的Exchange Server高危漏洞CVE-2018-8581。

本月微软安全公告日,微软的消息与协作系统Exchange Server再被披露出一组高危提权漏洞CVE-2019-0686和CVE-2019-0724。这组提权漏洞是源于2018年11月被微软公布但实际上未被真正修复的Exchange Server高危漏洞CVE-2018-8581。


微软当时仅针对CVE-2018-8581给出了一个删除注册表键值的侧面防御方案,(防止利用SSRF 来进行NTLM-RELAY),但并未真正给出补丁解决 SSRF 时会自动带出凭据的问题,因此CVE-2019-0686和CVE-2019-0724实际上是CVE-2018-8581衍生的两种攻击方案。

漏洞曝光时间:2019-02-13
漏洞风险程度:高危 
漏洞曝光程度:已公开
受影响软件以及版本:
Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 26
Microsoft Exchange Server 2013 Cumulative Update 22
Microsoft Exchange Server 2016 Cumulative Update 12
Microsoft Exchange Server 2019 Cumulative Update 1

修复方案:
微软已为“PrivExchange”漏洞提供了相关补丁,彻底解决了由CVE-2018-8581衍生出来的一系列问题:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0724
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686

因此,曾根据微软2019年2月5日的安全通报ADV190007中建议为EWSMaxSubscriptions添加限制策略的用户可以使用以下命令将其删除:
Remove-ThrottlingPolicy -Identity AllUsersEWSSubscriptionBlockPolicy

缓解方案:

采用以下缓解方案并不能从根本上解决问题,御见情报中心建议优先安装相关补丁。


阻止Exchange服务器发送EWS订阅通知,可以防止EWS泄露Exchange服务器NTLM凭据,从而缓解这组漏洞。但这也同时阻止依赖于EWS通知的客户端应用程序正常运行。受影响的应用程序示例包括Outlook for Mac,Skype for Business,通知依赖LOB应用程序以及一些iOS本机邮件客户端。


具体操作如下: 

1.创建一个阻止所有EWS订阅的策略:
New-ThrottlingPolicy -Name AllUsersEWSSubscriptionBlockPolicy -EwsMaxSubscriptions 0 -ThrottlingPolicyScope Organization

2.安装更新后,即可输入以下命令撤销以上操作
Remove-ThrottlingPolicy -Identity AllUsersEWSSubscriptionBlockPolicy

另外,针对CVE-2019-0724,请参照微软给出的说明,降低在Active Directory域中授予的权限,使用共享权限模型运行Exchange Server。


参考链接:https://support.microsoft.com/en-us/help/4490059/using-shared-permissions-model-to-run-exchange-server


最新资讯