微软Exchange server 产品被爆史上最严重安全漏洞，请大家按文章所示更新

easthomeRT

近日获悉微软Exchange server 产品被爆史上最严重安全漏洞，当前支持的ExchangeServer 全系版本均中招！

据微软中国企业服务首席解决方案专家、微软大师张美波分享的信息：Trend Micro 发现了Exchange Server 产品历史上最为严重的系统漏洞，发送一封特定格式的邮件即可远程以系统账户执行任意代码，相关信息可以参考以下微软安全公告：

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8302

关于这个 Exchange Server 的安全漏洞，今天已经正式发布了相关更新：

1、针对 Exchange Server 2010 的安全更新，是通过ExchangeServer 2010 SP3 RU23 实现，只要 Exchange Server 2010 是 SP3 及以上版本即可安装，下载地址为：

UpdateRollup 23 for Exchange Server 2010 Service Pack 3

https://www.microsoft.com/en-us/download/details.aspx?id=57219

2、针对 Exchange Server 2013 和 Exchange Server 2016，由于我们从 Exchange Server 2013 开始修改了产品支持模式，每个季度发布一次累计更新（CU），而仅支持最近的两个 CU 版本，因此仅针对目前支持的 Exchange Server 2013 CU20/CU21、ExchangeServer 2016 CU9/CU10 发布了安装更新。如果需要安装该安全更新，首先需要将 ExchangeServer 2013、Exchange Server 2016 安装到对应支持的 CU 版本，然后才能安装该更新。下载地址为：

Descriptionof the security update for Microsoft Exchange Server 2013 and 2016: August 14,2018

https://support.microsoft.com/en-us/help/4340731/description-of-the-security-update-for-microsoft-exchange-server-2013

发现这个安全问题的 Trend Micro ZeroDay Initiative 团队发布了一篇Blog，对该安全问题进行了详细的描述。注意目前攻击代码已经可能外泄了。

对方文章和POC攻击代码相关重点：

1、目前 POC 攻击代码需要依赖于Exchange Server 的UM角色。注意这个角色在Exchange Server 2010 中是独立安装的服务器角色，在 Exchange Server2013/2016 中是集成安装的服务器角色；

2、入侵者需要预先上传恶意攻击代码（.NET serializationpayload）到目标用户邮箱（攻击代码中是通过EWS上传；需经过身份验证，例如上传到自己的用户邮箱），并修改用户邮箱收件箱文件夹的件夹的TopNWords.Data属性（公属性（公共属性，通过身份验证的用户即可修改自身邮箱中的对应属性）；Trend Micro Zero Day Initiative 团队认为微软的安全更新中，禁止了用户去访问去访问TopNWords.Data属性（目属性（目前尚未得到 Exchange产品组的确认）。

3、入侵者发送语音邮件到对应的目标用户邮箱，触发 Exchange 服务器对语音邮件进行转换处理；

4、此时，触发执行之前入侵者上传的恶意攻击代码，以本地系统账户执行。

相关Blog请访问以下地址：

https://www.zerodayinitiative.com/blog/2018/8/14/voicemail-vandalism-getting-remote-code-execution-on-microsoft-exchange-server

关于上述流程中：

1、TopN Words 是扫描、分析并记录用户所使用的最常用的词语信息，通过 TopN Words Assistant 实现；

2、TopN Words Assistant 不定期（近乎实时）扫描用户邮箱中的语音邮件，并实现其功能；

3、TopN Words Assistant 集成在Microsoft Exchange Mailbox Assistants服务中，隶属于Exchange Server MBX 服务器角色上的服务；

4、 Microsoft Exchange Mailbox Assistants服务运行在本地系统账户之下。

按照惯例，POC攻击代码泄露之后，可能会被分析利用并进一步加以扩大攻击范围，因此请大家一定要及时安装相关更新。

东方瑞通成立于1998年，总部在北京，分别在上海、广州、天津、武汉、济南、深圳、成都、重庆、杭州和西安建立了直营分部，全国拥有超过40间专业培训教室、40多位专职讲师及180多位签约讲师；作为国内企业级IT高级技术&管理培训的领军机构，为数千家企业客户提供员工外派（公开课）和团体定制培训服务，累计培训专业人才数十万名。