微软 Exchange远程代码实行漏洞风险通告

发布时间 2020-02-26

漏洞编号和级别


CVE编号:CVE-2020-0688,危险级别:高危,CVSS分值:官方未评定


影响版本


微软 Exchange Server 2010 Service Pack 3 Update Rollup 30

微软 Exchange Server 2013 Cumulative Update 23

微软 Exchange Server 2016 Cumulative Update 14

微软 Exchange Server 2016 Cumulative Update 15

微软 Exchange Server 2019 Cumulative Update 3

微软 Exchange Server 2019 Cumulative Update 4


漏洞概述


2020年2月11日,微软发布了针对微软 Exchange Server中的远程代码实行漏洞(CVE-2020-0688)的补丁程序。利用这个漏洞,攻击者可通过Exchange服务上的普通用户权限,接管整个Exchange服务器。目前此漏洞的利用细节已经在互联网公开。


漏洞发生在 Exchange Control Panel (ECP)组件中。与每次App安装都会产生随机密钥不同,所有微软 Exchange Server在安装后的web.config文件中都拥有相同的validationKey和decryptionKey。这些密钥用于保证ViewState的安全性。而ViewState是ASP.NET Web应用以序列化格式存储在客户机上的服务端数据。客户端通过__VIEWSTATE请求参数将这些数据返回给服务器。由于使用了静态密钥,经过身份验证的攻击者可以欺骗目标服务器反序列化恶意创建的ViewState数据。当攻击者可以登录Exchange邮箱账户时,在YSoSerial.net的帮助下,可以在Exchange Control Panel web应用上实行任意代码。


漏洞验证


PoC:https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys。


修复建议


目前,MicroSoft官方已发布针对受影响版本的补丁程序,建议用户尽快安装:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688。


参考链接


https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys