Microsoft Exchange Server中存在一個特權提升漏洞。成功利用此漏洞的攻擊者可以獲得與Exchange服務器的任何其他用戶相同的權限。這可能允許攻擊者執行諸如訪問其他用戶的郵箱之類的活動。
利用此漏洞需要在受影響的環境中啟用和使用Exchange Web服務(EWS)和推送通知。要利用此漏洞,攻擊者需要執行中間人攻擊才能將身份驗證請求轉發到Microsoft Exchange Server,從而允許模擬其他Exchange用戶。
為解決此漏洞,Microsoft已將EWS客戶端與Exchange Server之間建立的通知合同更改為不允許服務器對已通過身份驗證的通知進行流式處理。相反,這些通知將使用匿名身份驗證機制進行流式處理。
對應版本安全更新如下:
| 產品 | 文章 | 下載 | 影響 | 嚴重性 | 替換項 |
| Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 26 | 4487052 | 安全更新 | 特權提升 | 重要 | 4468742 |
| Microsoft Exchange Server 2013 Cumulative Update 22 | 4345836 | 安全更新 | 特權提升 | 重要 | |
| Microsoft Exchange Server 2016 Cumulative Update 12 | 4471392 | 安全更新 | 特權提升 | 重要 | |
| Microsoft Exchange Server 2019 Cumulative Update 1 | 4471391 | 安全更新 | 特權提升 | 重要 |
緩解措施
要解決此漏洞,可以定義EWSMaxSubscriptions的限制策略,並將其應用於值為零的組織。這將阻止Exchange服務器發送EWS通知,並阻止依賴於EWS通知的客戶端應用程序正常運行。受影響的應用程序示例包括Outlook for Mac,Skype for Business,通知依賴LOB應用程序以及一些iOS本機郵件客戶端。
例:
New-ThrottlingPolicy -Name AllUsersEWSSubscriptionBlockPolicy -EwsMaxSubscriptions 0 -ThrottlingPolicyScope Organization
計划更新正在開發中。如果您確定您的系統存在高風險,那么您應該評估建議的解決方法。
安裝更新后,您可以使用以下命令撤消上述操作:
Remove-ThrottlingPolicy AllUsersEWSSubscriptionBlockPolicy
解決方法
Microsoft尚未發現此漏洞的任何變通方法。
此更新是否與Microsoft安全通報ADV190007有關?
與CVE-2019-0686和CVE-2019-0724相關聯的更新解決了Microsoft安全通報ADV190007中討論的漏洞。鼓勵已實施安全通報中列出的變通方法的客戶在應用此更新后將其刪除以完全恢復以前的功能。
歡迎關注微信公眾號:小溫研習社
