Microsoft Exchange Server远程代码执行漏洞(CVE-2020-0688)

Microsoft Exchange Server远程代码执行漏洞(CVE-2020-0688)

在微软发布的2月份安全更新中包含一个重要级别的补丁,用于修复存在于 Microsoft Exchange Server中的远程代码执行漏 洞(CVE-2020-0688)。该漏洞影响所有受支持的Microsoft Exchange Server。目前已有该漏洞的详细分析和利用演示,
详见 以下参链接。
参考链接:
https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange- server-through-fixed-cryptographic-keys

漏洞原因是Exchange服务器在安装时没有正确创建唯一的加密密钥。导致经过身份验证的攻击者可以欺骗目标服务器反序列化
恶意创建的数据,来达到在目标服务器上以 SYSTEM 身份执行任意.net代码的目的。

受影响产品版本
Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 14
Microsoft Exchange Server 2016 Cumulative Update 15
Microsoft Exchange Server 2019 Cumulative Update 3
Microsoft Exchange Server 2019 Cumulative Update 4

解决方案
微软已经于本次月度安全更新中修复了上述漏洞,请用户尽快下载升级进行防护。

官方通告:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688

ZDI

https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server- through-fixed-cryptographic-keys

Sigma Rules

https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server- through-fixed-cryptographic-keys

其他检测

https://www.trustedsec.com/blog/detecting-cve-20200688-remote-code-executionvulnerability-on-microsoft- exchange-server/

漏洞利用:

https://github.com/Ridter/cve-2020-0688

https://github.com/random-robbie/cve-2020-0688

https://github.com/Jumbo-WJB/CVE-2020-0688

https://github.com/Yt1g3r/CVE-2020-0688_EXP

其他:

CERT-FR(法语)

https: //www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-007

发表评论

电子邮件地址不会被公开。 必填项已用*标注