微软Exchange和DHCP服务端组件漏洞预警

发表于:2019-2-14 09:58

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:360CERT    来源:今日头条

#
漏洞
#
微软
分享:
  0x00 事件背景
  北京时间2019年2月13日6时,微软发布了例行安全更新,修补了IE浏览器、Microsoft Edge、Microsoft Office 和 Microsoft Exchange Server 等产品中的多个漏洞
  本次安全更新,解决了之前的"PrivExchange"问题,2018年11月的 CVE-2018-8581 Microsoft Exchange Server特权提升漏洞 在本次补丁中得到根本解决。
  经过360CERT研判,本次公告中的CVE-2019-0686、CVE-2019-0724(Microsoft Exchange Server特权提升漏洞) 和 CVE-2019-0626(Windows DHCP 远程执行代码漏洞)影响广泛,危害严重。需要高度注意。
  0x01 漏洞概述
  CVE-2019-0686、CVE-2019-0724 和 CVE-2018-8581
  该组漏洞为Microsoft Exchange Server中的特权提升漏洞。需要开启Exchange Web服务(EWS)和推送通知。要利用此漏洞,攻击者需要进行中间人攻击,将身份验证请求转发到Microsoft Exchange Server模拟其他Exchange用户。成功利用,可以使攻击者取得Exchange服务器中任何用户权限,导致诸如邮件泄露之类的恶意活动。为解决此漏洞,微软将EWS客户端与Exchange Server之间建立的通知消息,使用匿名身份验证机制进行流式处理。CVE-2018-8581 在2018年11月份安全更新中没有给出补丁,只是建议修改NTLM身份验证的注册表值。CVE-2019-0686 和 CVE-2019-0724 是 CVE-2018-8581 两种攻击方法,本次安全更新彻底修补了该漏洞。
  CVE-2019-0626
  该漏洞为Windows Server DHCP服务中存在内存损坏漏洞。没有前置利用条件,攻击者可以将特制数据包发送到DHCP服务器,成功利用可以使攻击者在DHCP服务中运行任意代码。
  0x02 漏洞影响
  CVE-2019-0686、CVE-2019-0724 和 CVE-2018-8581
  影响范围:
  Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 26
  Microsoft Exchange Server 2013 Cumulative Update 22
  Microsoft Exchange Server 2016 Cumulative Update 12
  Microsoft Exchange Server 2019 Cumulative Update 1
  CVE-2019-0626
  影响产品:
  Windows 10 Version 1703 for 32-bit Systems
  Windows 10 Version 1703 for x64-based Systems
  Windows 10 Version 1803 for 32-bit Systems
  Windows 10 Version 1803 for x64-based Systems
  Windows Server, version 1803 (Server Core Installation)
  Windows 10 Version 1803 for ARM64-based Systems
  Windows 10 Version 1809 for 32-bit Systems
  Windows 10 Version 1809 for x64-based Systems
  Windows 10 Version 1809 for ARM64-based Systems
  Windows Server 2019
  Windows Server 2019 (Server Core installation)
  Windows 10 Version 1709 for 32-bit Systems
  Windows 10 Version 1709 for 64-based Systems
  Windows 10 Version 1709 for ARM64-based Systems
  Windows Server, version 1709 (Server Core Installation)
  Windows Server, version 1709 (Server Core Installation)
  Windows 10 for 32-bit Systems
  Windows 10 for x64-based Systems
  Windows 10 Version 1607 for 32-bit Systems
  Windows 10 Version 1607 for x64-based Systems
  Windows Server 2016
  Windows Server 2016 (Server Core installation)
  Windows 7 for 32-bit Systems Service Pack 1
  Windows 7 for x64-based Systems Service Pack 1
  Windows 8.1 for 32-bit systems
  Windows 8.1 for x64-based systems
  Windows RT 8.1
  Windows Server 2008 for 32-bit Systems Service Pack 2
  Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  Windows Server 2008 for Itanium-Based Systems Service Pack 2
  Windows Server 2008 for x64-based Systems Service Pack 2
  Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
  Windows Server 2008 R2 for x64-based Systems Service Pack 1
  Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  Windows Server 2012
  Windows Server 2012 (Server Core installation)
  Windows Server 2012 R2
  Windows Server 2012 R2 (Server Core installation)
  0x03 安全建议
  经过360CERT研判,“PrivExchange” 和 CVE-2019-0626 漏洞影响广泛且危害严重,360CERT建议广大用户尽快进行修补。
  两个安全问题都已发布了官方安全补丁。
  CVE-2019-0686、CVE-2019-0724 可以从下面连接中,找到相应系统的补丁
  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686
  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686
  CVE-2019-0626 可以从下面连接中,找到相应系统的补丁
  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0626
  “PrivExchange”临时修补指南:
  阻止创建EWS订阅可以防止EWS泄露Exchange服务器NTLM凭据,从而临时修补CVE-2019-0686。具体操作如下:
  创建一个阻止所有EWS订阅的策略:
  `New-ThrottlingPolicy -Name NoEwsSubscriptions -ThrottlingPolicyScope Organization -EwsMaxSubscriptions 0`
  创建常规策略,该策略可用于将必须具有完整EWS功能的受信任用户列入白名单:
  `New-ThrottlingPolicy -Name AllowEwsSubscriptions -ThrottlingPolicyScope Regular -EwsMaxSubscriptions 5000`
  将常规策略分配给任何用户:
  `Set-Mailbox User1 -ThrottlingPolicy AllowEwsSubscriptions`
  限制EWS订阅,并不能从根本上解决问题。360CERT强烈建议安装相关补丁。
  0x04 时间线
  2019-02-13 微软发布例行安全更新
  2019-02-13 360CERT 研判漏洞,发布漏洞预警公告
  0x05 参考链接
  MSRC 官方公告
  https://blogs.technet.microsoft.com/msrc/2019/02/12/february-2019-security-update-release/

     上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号