漏洞描述


2020年2月11日，Microsoft發(fā)布了針對(duì)Microsoft Exchange Server中的遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-0688）的補(bǔ)丁程序。目前此漏洞的利用細(xì)節(jié)已經(jīng)在互聯(lián)網(wǎng)公開。


當(dāng)服務(wù)器在安裝時(shí)無(wú)法正確創(chuàng)建唯一密鑰時(shí)，Microsoft Exchange Server中將存在一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞是由于Exchange控制面板（ECP）組件中使用了靜態(tài)密鑰（validationKey和decryptionKey）。這些密鑰用于為ViewState提供安全性。ViewState是ASP.NET Web應(yīng)用程序在客戶端上以序列化格式存儲(chǔ)的服務(wù)器端數(shù)據(jù)?？蛻舳送ㄟ^(guò)__VIEWSTATE請(qǐng)求參數(shù)將此數(shù)據(jù)傳回服務(wù)器。經(jīng)過(guò)身份驗(yàn)證的攻擊者可以誘使服務(wù)器反序列化惡意制作的ViewState數(shù)據(jù)，從而在Exchange控制面板Web應(yīng)用程序的上下文中執(zhí)行任意.NET代碼。由于Exchange控制面板Web應(yīng)用程序是以SYSTEM權(quán)限運(yùn)行，因而成功利用此漏洞的攻擊者可以以SYSTEM身份執(zhí)行任意代碼，并完全破壞目標(biāo)Exchange服務(wù)器。



?

?


風(fēng)險(xiǎn)等級(jí)

風(fēng)險(xiǎn)評(píng)級(jí)為：高危

風(fēng)險(xiǎn)等級(jí)：藍(lán)色（一般事件）


影響范圍


Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30

Microsoft Exchange Server 2013 Cumulative Update 23

Microsoft Exchange Server 2016 Cumulative Update 14

Microsoft Exchange Server 2016 Cumulative Update 15

Microsoft Exchange Server 2019 Cumulative Update 3

Microsoft Exchange Server 2019 Cumulative Update 4

?


處置建議


目前，微軟官方已發(fā)布針對(duì)受影響版本的補(bǔ)丁程序，建議用戶盡快安裝：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688