微软官方于8月14日发布了63个漏洞的补丁程序,其中存在于Microsoft Exchange Server中的远程代码执行漏洞(CVE-2018-8302)需重点关注,该产品大部分版本受此漏洞影响。攻击者只需获得使用UM语音信箱功能的邮箱账户,并执行通过Exchange Web Services上传.Net反序列化payload的命令。在拨打此账户的语音邮箱后,即可触发payload,造成System级远程代码执行。
Exchange Server 是一个设计完备的邮件服务器产品, 提供了通常所需要的全部邮件服务功能,被广泛应用于企业、学校的邮件系统。目前没有相关PoC发布,建议用户尽快安装补丁,实现有效防护。
预警编号:NS-2018-0023
危害等级:高,攻击者在拥有内部邮箱账号的情况下,可借助语音邮件,触发上传到服务器的payload,获取Microsoft Exchange Server的控制权限。
影响范围
触发该漏洞需要同时满足以下条件:
- Exchange服务器没有打补丁。
- 拥有内部邮箱账号。
- Exchange需要开启统一消息配置(UM)
受影响版本:
- Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 23
- Microsoft Exchange Server 2013 Cumulative Update 20
- Microsoft Exchange Server 2013 Cumulative Update 21
- Microsoft Exchange Server 2016 Cumulative Update 10
- Microsoft Exchange Server 2016 Cumulative Update 9
绿盟科技安全服务团队建议用户尽快下载安装相应补丁,实现安全加固,保证对系统的有效防护。
解决建议
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8302
https://www.zerodayinitiative.com/blog/2018/8/14/voicemail-vandalism-getting-remote-code-execution-on-microsoft-exchange-server
官方补丁
微软官方已经修正了Microsoft Exchange处理内存对象的方式,相关补丁已经发布,绿盟科技安全服务团队建议用户尽快根据所应用产品的版本,下载安装对应的补丁文件,链接如下:
| 产品版本 | 补丁下载链接 |
| Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 23 | https://www.microsoft.com/downloads/details.aspx?familyid=a4b1db71-46c5-4322-9ec8-b3a4e7c3f144 |
| Microsoft Exchange Server 2013 Cumulative Update 20 | https://www.microsoft.com/downloads/details.aspx?familyid=44c03bea-9af6-427e-b8f3-a1a83a9ea488 |
| Microsoft Exchange Server 2013 Cumulative Update 21 | https://www.microsoft.com/downloads/details.aspx?familyid=7094c065-2f08-43fa-9031-dcdd651d98e1 |
| Microsoft Exchange Server 2016 Cumulative Update 10 | https://www.microsoft.com/downloads/details.aspx?familyid=4392a20a-0c93-4385-bebd-809f8ca5213b |
| Microsoft Exchange Server 2016 Cumulative Update 9 | https://www.microsoft.com/downloads/details.aspx?familyid=4392a20a-0c93-4385-bebd-809f8ca5213b |
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。