1. 首页>
  2. 腾讯云代理

【安全预警】关于 Microsoft Exchange 域账号提权漏洞的通知

腾讯云 2019年03月13日 浏览182

腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云客户,您好:

   近日,腾讯云安全中心监测到 Microsoft Exchange 被曝存在域账号提权漏洞(漏洞编号:CVE-2018-8581),该漏洞可导致攻击者获取域服务管理控制权限,危害系统安全
        为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
 
【漏洞详情】
     研究人员发现通过 NTLM 中继攻击,利用 Exchange PushSubscription 功能可以实现 Exchange 服务的权限提升,获取域服务器的控制权限,进而危害业务安全。
     该漏洞是去年 Exchange 漏洞(漏洞编号:CVE-2018-8581)的新利用方式,危害更为严重。
 
【风险等级】
   高风险
 
【漏洞风险】
  权限提升
 
【影响版本】
  目前已知受影响版本如下:
   Microsoft Exchange Server 2010
   Microsoft Exchange Server 2013
   Microsoft Exchange Server 2016
   Microsoft Exchange Server 2019
【修复建议】
  Microsoft 官方尚未发布该漏洞的修复补丁,腾讯云会密切关注官方补丁发布情况,在补丁发布后将会第一时间跟进修复方案,也请您注意及时关注腾讯云官方安全公告。
  研究者提供了临时修复方案,由于漏洞利用依赖多种组件,漏洞防护如下几种建议方案:
 1)移除Exchange 在域对象上的不必要的高权限;
  参考方案:在Powershell上执行权限检查和移除操作,详细命令见:https://github.com/gdedrouas/Exchange-AD-Privesc/blob/master/DomainObject/Fix-DomainObjectDACL.ps1
 2)启用LDAP签名且启动LdapEnforceChannelBindings配置,禁止攻击包流向LDAP和LDAPS服务;
 参考方案:https://support.microsoft.com/zh-cn/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry
 3)禁止Exchange服务器与任意端口上的生产服务器建立连接;
 参考方案:可以通过防火墙或安全组限制 Exchange 服务器发起的链接请求。
 4)移除受影响的注册表键值;
 参考方案:可依照微软官方建议删除对应的注册表键值,用户可以通过删除注册表的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck 配置来防护该漏洞。具体操作方法:
 以管理员身份键入“Windows”+“R”,输入“cmd”打开命令行,并执行:
 reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa /v DisableLoopbackCheck /f
  操作完毕用户无需重启Exchange或操作系统,详见: https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-8581
 5)在Exchange服务器上启用SMB签名,阻止跨协议的攻击请求转发到SMB服务;

【备注】建议您在修复操作前做好数据备份工作,避免出现意外。
 
【漏洞参考】

相关文章

在线客服
淘宝购买
腾讯云直播申请 title=
+成为腾讯云VIP客户 腾讯云直播申请 客服电话

15818558013

0755-33940501-803

0755-33940501-808