Microsoft Exchange 权限提升

近日，安全研究人员发现微软Microsoft Exchange SSRF漏洞，该漏洞它允许任何经过身份验证的用户冒充Exchange Server上的其他用户，从而得到被冒充用户的权限。

Microsoft Exchange Server是微软公司的一套电子邮件服务组件。除传统的电子邮件的存取、储存、转发作用外，在新版本的产品中亦加入了一系列辅助功能，如语音邮件、邮件过滤筛选和OWA（基于Web的电子邮件存取）。Exchange Server支持多种电子邮件网络协议，如SMTP、NNTP、POP3和IMAP4。Exchange Server能够与微软公司的活动目录完美结合。

Exchange Server是个消息与协作系统，Exchange server可以被用来构架应用于企业、学校的邮件系统甚至于免费邮件系统。也可以用于开发工作流、知识管理系统、Web系统或者是其他消息系统。

详细信息

漏洞提交时间：2018年11月14日

漏洞信息更新时间：2018年12月18日

漏洞评级：高危

影响版本：Microsoft Exchange Server 2010、2013、2016、2019

漏洞描述

该漏洞是由SSRF(服务器请求伪造)漏洞和其他漏洞相结合造成的。

1. Exchange服务器使用CredentialCache.DefaultCredentials进行连接，这将导致Exchange Server向攻击者的服务器发送NTLM散列。

2. Exchange服务器还默认设置了

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaDisableLoopbackCheck = 1

的注册表项。

以上两点将导致SOAP请求头的SID参数泄漏，攻击者可以利用泄漏的SID构造SOAP请求头来冒充受害者用户。

获取攻击目标的SID

在获取到目标的SID后，攻击者可以获取该目标的邮箱权限。比如对该用户邮箱收件箱进行委托接管。

解决方案

Microsoft 在11月发布的更新版本中发布了此漏洞CVE-2018-8581的缓解措施。然而，实际上没有补丁来纠正这个问题。而目前该漏洞的利用方法已被漏洞发布者公开，用户应即时进行修补。

用户可以通过删除Exchange服务器创建的注册表项来解决此问题。在管理员权限的CMD下输入以下命令(输入后无需重启计算机即可生效)：

reg delete HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa / v DisableLoopbackCheck / f

Microsoft 将在之后的更新版本中修复此漏洞，但未说明具体修复时间。