微软Exchange和DHCP服务端组件漏洞预警

发布日期：2019-02-14 浏览次数：188

报告编号：B6-2019-021302 报告来源：360-CERT 报告作者：360-CERT 更新日期：2019-02-13 0x00 事件背景北京时间2019年2月13日6时，微软发布了例行安全更新，修补了IE浏览器、Microsoft Edge、Microsoft Office 和 Microsoft Exchange Server 等产品中的多个漏洞。本次安全更新，解决了之前的PrivExchange问题，2018年11月的 CVE-2018-8581 Microsoft Exchange Server特权提升漏洞在本次补丁中得到根本解决。经过360CERT研判，本次公告中的CVE-2019-0686、CVE-2019-0724（Microsoft Exchange Server特权提升漏洞）和 CVE-2019-0626（Windows DHCP 远程执行代码漏洞）影响广泛，危害严重。需要高度注意。 0x01 漏洞概述 CVE-2019-0686、CVE-2019-0724 和 CVE-2018-8581 该组漏洞为Microsoft Exchange Server中的特权提升漏洞。需要开启Exchange Web服务（EWS）和推送通知。要利用此漏洞，攻击者需要进行中间人攻击，将身份验证请求转发到Microsoft Exchange Server模拟其他Exchange用户。成功利用，可以使攻击者取得Exchange服务器中任何用户权限，导致诸如邮件泄露之类的恶意活动。为解决此漏洞，微软将EWS客户端与Exchange Server之间建立的通知消息，使用匿名身份验证机制进行流式处理。CVE-2018-8581 在2018年11月份安全更新中没有给出补丁，只是建议修改NTLM身份验证的注册表值。CVE-2019-0686 和 CVE-2019-0724 是 CVE-2018-8581 两种攻击方法，本次安全更新彻底修补了该漏洞。 CVE-2019-0626 该漏洞为Windows Server DHCP服务中存在内存损坏漏洞。没有前置利用条件，攻击者可以将特制数据包发送到DHCP服务器，成功利用可以使攻击者在DHCP服务中运行任意代码。 0x02 漏洞影响 CVE-2019-0686、CVE-2019-0724 和 CVE-2018-8581 影响范围： Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 26 Microsoft Exchange Server 2013 Cumulative Update 22 Microsoft Exchange Server 2016 Cumulative Update 12 Microsoft Exchange Server 2019 Cumulative Update 1 CVE-2019-0626 影响产品： Windows 10 Version 1703 for 32-bit Systems Windows 10 Version 1703 for x64-ba Windows 10 Version 1803 for 32-bit Systems Windows 10 Version 1803 for x64-ba Windows Server, version 1803 (Server Core Installation) Windows 10 Version 1803 for ARM64-ba Windows 10 Version 1809 for 32-bit Systems Windows 10 Version 1809 for x64-ba Windows 10 Version 1809 for ARM64-ba Windows Server 2019 Windows Server 2019 (Server Core installation) Windows 10 Version 1709 for 32-bit Systems Windows 10 Version 1709 for 64-ba Windows 10 Version 1709 for ARM64-ba Windows Server, version 1709 (Server Core Installation) Windows Server, version 1709 (Server Core Installation) Windows 10 for 32-bit Systems Windows 10 for x64-ba Windows 10 Version 1607 for 32-bit Systems Windows 10 Version 1607 for x64-ba Windows Server 2016 Windows Server 2016 (Server Core installation) Windows 7 for 32-bit Systems Service Pack 1 Windows 7 for x64-ba Windows 8.1 for 32-bit systems Windows 8.1 for x64-ba Windows RT 8.1 Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for Itanium-ba Windows Server 2008 for x64-ba Windows Server 2008 for x64-ba Windows Server 2008 R2 for Itanium-ba Windows Server 2008 R2 for x64-ba Windows Server 2008 R2 for x64-ba Windows Server 2012 Windows Server 2012 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server Core installation)
受影响产品及版本：
详见情报详情
解决方案：
0x03 安全建议经过360CERT研判，“PrivExchange” 和 CVE-2019-0626 漏洞影响广泛且危害严重，360CERT建议广大用户尽快进行修补。两个安全问题都已发布了官方安全补丁。 CVE-2019-0686、CVE-2019-0724 可以从下面连接中，找到相应系统的补丁 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686 CVE-2019-0626 可以从下面连接中，找到相应系统的补丁 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0626 “PrivExchange”临时修补指南：阻止创建EWS订阅可以防止EWS泄露Exchange服务器NTLM凭据,从而临时修补CVE-2019-0686。具体操作如下：创建一个阻止所有EWS订阅的策略： `New-ThrottlingPolicy -Name NoEwsSubsc 创建常规策略，该策略可用于将必须具有完整EWS功能的受信任用户列入白名单： `New-ThrottlingPolicy -Name AllowEwsSubsc 将常规策略分配给任何用户： `Set-Mailbox User1 -ThrottlingPolicy AllowEwsSubsc 限制EWS订阅，并不能从根本上解决问题。360CERT强烈建议安装相关补丁。 0x04 时间线 2019-02-13 微软发布例行安全更新 2019-02-13 360CERT 研判漏洞，发布漏洞预警公告 0x05 参考链接 MSRC 官方公告