网络与信息安全情况通报

　　第76期

　　 北京网络与信息安全信息通报中心                       2018年8月16日

　　关于 Exchange邮件系统存在远程代码执行漏洞的预害通报

　　近日,网络安全厂商亚信安全、绿盟科技等公司向我中心上报, Microsoft Exchange Server存在远程代码执行的漏洞(CVE-2018-8302 ) ,攻者者可通过使用 Exchange Web Services 来上传恶意数据,从而导致任意代码执行。通过该漏洞可直接获取网站最高权限,进而窃取敏感信息、篡改网站页面。针对此情况,我中心组织技术人员对该稿洞进行分析。现将漏洞基本情况、 影响范围及工作建议通报如下:

　　一、基本情況

　　Microsoft Exchange Server是微软开发的一款邮件服务器。漏洞来源于名为TopNWords.Data的收件箱目录属性。此属性数据存储在 Exchange服务器上, 且为公共属性, 因此用户可以通过Exchange Web Services (EWS)来对其进行更改。 Exchange Web Services是一组客户端与 Exchange照务器通信的接口。

　　当收到语音邮件时, Exchange 服务器会要试将其转换为文字显示在收件人的收件箱中。在启用Unified Messaging(UM) 后,  默认情况下会进行此转录过程:Exchange将读取TopNWords.Data属性值,并使用.NET程序 BinaryFormatter 对其进行反序列化, 以进行后续的转化处理。

　　攻击者首先通过使用 Exchange Web Services来上传恶意数据, 写入到 TopNWords.Data属性中；随后,使用 UM 邮箱账号留下语音邮件,语音邮件将触发程序 BinaryFormatter 对TopNWords.Data属性中的恶意数据进行反序列化,最终导致以 NT AUTHORITY/SYSTEM身份权限的任意代码执行。

　　二、影响范围

　　目前, 受影响的邮件服务器主要是以下几个版本:

　　1.Microsoft Exchange Server 2013 Cumulative  Update9；

　　2.Microsoft Exchange Server 20l6 Cumulative  Update10；

　　3.Microsoft Exchange Server 2013 Cumulative  Update21；

　　4.Microsoft Exchange Server 2013 Cumulative  Update20；

　　5.Microsoft Exchange Server 2010 Service Pack 3 Update Ro11up23.

　　三、网络安全工作建议

　　针对该漏洞情况，请所有通报成员单位立即开展以下几方面工作:  一是及时前往微软官方下裁对应的安全补丁:( https://portal.msrc.microsoft. com/en-US/security-guidance/advisory/CVE-2018-8302)；二是关闭 Exchange服务器Unified Messaging(UM) 配置选項； 三是及时上报情况, 请各单位接通报后立即开展工作, 如发生网络安全事件及时向我中心上报。

　　(联系人: 金镁,  电活:  5312123）