【安全通告】CVE-2020-0688 Microsoft Exchange 远程代码执行POC已公开

2020-02-27 11:57:12
CVE-2020-0688是一个Exchange服务上的漏洞,利用这个漏洞,攻击者可通过Exchange服务上的普通用户权限,接管整个Exchange服务器,腾讯安全威胁情报中心监测到该漏洞的POC已被公开。

【背景】

2020211日,微软发布了自停止支持的win7(2020114)后涵盖Microsoft WindowsEdgeInternet ExplorerIE)、SQL ServerOffice以及Web应用等共计99个漏洞补丁安装程序。

这些99个漏洞当中的CVE-2020-0688我们在之前《微软2月安全更新,修复在野0day利用》的文章中有提到过,这是一个Exchange服务上的漏洞。利用这个漏洞,攻击者可通过Exchange服务上的普通用户权限,接管整个Exchange服务器。

腾讯安全威胁情报中心监测到该漏洞的POC已被公

【漏洞详情】

漏洞发生在 Exchange Control Panel ECP)组件中。

与每次软件安装都会产生随机密钥不同,所有Microsoft Exchange Server在安装后的web.config文件中都拥有相同的validationKeydecryptionKey

这些密钥用于保证ViewState的安全性。而ViewStateASP.NET Web应用以序列化格式存储在客户机上的服务端数据。

客户端通过__VIEWSTATE请求参数将这些数据返回给服务器。

由于使用了静态密钥,经过身份验证的攻击者可以欺骗目标服务器反序列化恶意创建的ViewState数据。当攻击者可以登录Exchange 邮箱账户时,在YSoSerial.net的帮助下,可以在Exchange Control Panel web应用上执行任意代码。

代码执行结果不会回显,页面显示500意外错误。

【风险评级】高危

【影响版本】

【修复建议】

访问 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688  下载安装Exchange受影响版本对应的补丁。

【参考链接】

https://s.tencent.com/research/bsafe/889.html 

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688 

https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys 

https://nosec.org/home/detail/4158.html

最新资讯