Microsoft Exchange Server中存在一个特权提升漏洞。成功利用此漏洞的攻击者可以获得与Exchange服务器的任何其他用户相同的权限。这可能允许攻击者执行诸如访问其他用户的邮箱之类的活动。
利用此漏洞需要在受影响的环境中启用和使用Exchange Web服务(EWS)和推送通知。要利用此漏洞,攻击者需要执行中间人攻击才能将身份验证请求转发到Microsoft Exchange Server,从而允许模拟其他Exchange用户。
为解决此漏洞,Microsoft已将EWS客户端与Exchange Server之间建立的通知合同更改为不允许服务器对已通过身份验证的通知进行流式处理。相反,这些通知将使用匿名身份验证机制进行流式处理。
对应版本安全更新如下:
产品 | 文章 | 下载 | 影响 | 严重性 | 替换项 |
Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 26 |
4487052 | 安全更新 | 特权提升 | 重要 | 4468742 |
Microsoft Exchange Server 2013 Cumulative Update 22 |
4345836 | 安全更新 | 特权提升 | 重要 | |
Microsoft Exchange Server 2016 Cumulative Update 12 |
4471392 | 安全更新 | 特权提升 | 重要 | |
Microsoft Exchange Server 2019 Cumulative Update 1 |
4471391 | 安全更新 | 特权提升 | 重要 |
缓解措施
要解决此漏洞,可以定义EWSMaxSubscriptions的限制策略,并将其应用于值为零的组织。这将阻止Exchange服务器发送EWS通知,并阻止依赖于EWS通知的客户端应用程序正常运行。受影响的应用程序示例包括Outlook for Mac,Skype for Business,通知依赖LOB应用程序以及一些iOS本机邮件客户端。
例:
New-ThrottlingPolicy -Name AllUsersEWSSubscriptionBlockPolicy -EwsMaxSubscriptions 0 -ThrottlingPolicyScope Organization
计划更新正在开发中。如果您确定您的系统存在高风险,那么您应该评估建议的解决方法。
安装更新后,您可以使用以下命令撤消上述操作:
Remove-ThrottlingPolicy AllUsersEWSSubscriptionBlockPolicy
解决方法
Microsoft尚未发现此漏洞的任何变通方法。
此更新是否与Microsoft安全通报ADV190007有关?
与CVE-2019-0686和CVE-2019-0724相关联的更新解决了Microsoft安全通报ADV190007中讨论的漏洞。鼓励已实施安全通报中列出的变通方法的客户在应用此更新后将其删除以完全恢复以前的功能。