文档信息

通告背景

2018年11月13日，Microsoft MSRC发布了一个Microsoft Exchange Server漏洞通告，涉及Microsoft Exchange Server中存在一处漏洞。利用此漏洞最低限度可以导致越权访问任意Exchange用户的邮件信息，结合特定的场景和其他安全问题可能实现权限提升，对应的漏洞编号为CVE-2018-8581。

2018年12月19日，安全厂商发布该漏洞细节及验证代码，同日Github上也流传出了针对该漏洞改良版的漏洞利用代码。目前，漏洞相关的技术细节和利用程序已经完全公开，奇安信威胁情报中心验证可用。

鉴于此漏洞影响大多数Microsoft Exchange Server，而且邮件服务器是企业内部非常重要的信息系统，存储和交换大量敏感信息，对组织的数据安全构成巨大的现实威胁。目前微软还未对此漏洞发布相关的安全补丁，但提供了一个临时解决方案， 奇安信威胁情报中心发布此通告提醒受影响用户和组织采取必要的应对措施以降低受攻击的风险。

漏洞概要

漏洞描述

该漏洞实质是由SSRF （Server-Side Request Forgery：服务器端请求伪造）漏洞和其他安全机制相结合造成的。Exchange允许任何用户为推送订阅指定所需的URL，服务器将尝试向这个URL发送通知，漏洞存在于Exchange服务器使用CredentialCache.DefaultCredentials进行连接的场景。

现实利用场景中攻击者只需拥有合法Exchange邮箱账户，只要向Exchange Server所在的主机发送精心构造的恶意数据包，触发漏洞导致向受害者邮箱中添加入站(inbond)规则，之后受害者的所有入站(inbond)电子邮件都将转发给攻击者。由于攻击发生在攻击者和服务器之间，故大多数情况下受害者几乎是无感知的。

在Exchange Web Service(EWS)中，CredentialCache.DefaultCredentials运行在NT AUTHORITY\SYSTEM权限之上。这将导致Exchange Server向攻击者的服务器发送NTLM散列。允许使用这些NTLM散列来进行HTTP身份验证。

如下图：

现在可以使用这些散列来访问Exchange Web Service(EWS)。由于它运行在NT AUTHORITYSYSTEM级别，攻击者可以获得TokenSerializationRight的“特权”会话。然后SOAP请求头存在的SSRF漏洞可以使其冒充任何用户，从而导致该提权漏洞的产生。

如下图：

影响面评估

奇安信威胁情报中心已经确认公开的漏洞利用代码有效，且该漏洞整体影响面比较大，综合分析威胁等级为__高__。

修复方法

升级补丁：

截止发稿时间微软官方未发布针对此漏洞的补丁。

微软建议的临时处置措施：(删除注册表键值)

打开CMD命令行，并输入以下命令：

reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa /v DisableLoopbackCheck /f

删除注册表键值后不需要重新启动系统或Exchange Server。而且微软强调将来Exchange Server的更新在默认情况下将不再启用该注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

参考资料

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8581

https://www.zerodayinitiative.com/blog/2018/12/19/an-insincere-form-of-flattery-impersonating-users-on-microsoft-exchange

更新历史