助力修复Exchange安全漏洞 360企业安全获微软官方致谢

近日，微软官方发布了新的安全补丁，用于完全修复 CVE-2018-8581、CVE-2019-0686、CVE-2019-0724，并在其官方文档中独家致谢 360 A-TEAM（即360企业安全集团360安全监测与响应中心）。

本篇更新了微软Exchange SSRF漏洞（CVE-2018-8581）以及CVE-2019-0686、CVE-2019-0724完全修复方案。

微软的 Exchange 先前被爆出存在SSRF漏洞，漏洞编号为：CVE-2018-8581。此 CVE可造成以下两个攻击方案：

攻击方案一：攻击者利用此漏洞，在拥有目标网络一个邮箱权限的情况下接管网络内任何人的收件箱，造成严重的信息泄露。

攻击方案二：攻击者可利用此漏洞直接控制目标网络内的Windows 域进而控制域内所有 Windows 机器。

微软官方数月前发布了缓解措施尝试修复“攻击方案一”，360 A-TEAM评估后发现该缓解措施存在问题（该问题随后被分配了新的漏洞编号 CVE-2019-0686），并将该问题与“攻击方案二”（此攻击方案随后被分配了漏洞编号 CVE-2019-0724）一同提交至微软官方 SRC。近日微软官方发布用于完全修复上述漏洞的全新安全补丁，并在官方文档独家致谢。

文档信息：


文档名称：Exchange SSRF 漏洞安全预警通告第五次更新

关键字：Exchange SSRF

发布日期：2019年2月13日

分析团队：360安全监测与响应中心

漏洞描述

微软的 Exchange 先前被爆出存在SSRF漏洞，漏洞编号为：CVE-2018-8581。近日该漏洞的另一利用方法被国外安全研究人员公开，攻击者利用此漏洞可直接控制目标网络内的Windows 域进而直接控制域内所有 Windows 机器。

攻击者在已经进入目标网络并且满足以下任一条件后，可尝试触发此漏洞：

1. 拥有目标网络内任意用户的邮箱权限

2. 攻击者已控制目标网络内的任意一台与域内机器在同一网段的机器，并成功针对域内机器发起windows name resolution spoofing 攻击

若漏洞利用成功，可导致目标网络内的 Windows 域被控制，进而导致域内所有 Windows机器被控制。

目前微软已正式发布更新补丁可用于修复 CVE-2018-8581、CVE-2019-0686、CVE-2019-0724。

风险等级

360安全监测与响应中心风险评级为：高危

预警等级：蓝色预警（一般网络安全预警）

影响范围

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

注：Exchange权限模型分为 SplitPermission Model 与 Shared Permission Model（默认），采用 Split Permission Model 的 Exchange 服务器不受“攻击方案二”的影响。

处置建议

目前微软已正式发布更新补丁可用于修复 CVE-2018-8581、CVE-2019-0686、CVE-2019-0724，请参照以下官方链接进行修复：

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0686

参考链接

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0724

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0686

时间线

[1] 2018-12-31 360安全监测响应中心发布安全预警通告

[2] 2019-1-22 360安全监测响应中心发布安全预警通告第二次更新

[3] 2019-1-22 360安全监测响应中心发布安全预警通告第三次更新

[4] 2019-1-24 360安全监测响应中心发布安全预警通告第四次更新

[5] 2019-2-13 360安全监测响应中心发布安全预警通告第五次更新

【来源：360企业安全】
更多资讯详见：360社区早报（2019-2-14）