压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

0x00 事件背景

北京時(shí)間2019年2月13日6時(shí)，微軟發(fā)布了例行安全更新，修補(bǔ)了IE瀏覽器、Microsoft Edge、Microsoft Office 和 Microsoft Exchange Server 等產(chǎn)品中的多個(gè)漏洞。

本次安全更新，解決了之前的”P(pán)rivExchange”問(wèn)題，2018年11月的 CVE-2018-8581 Microsoft Exchange Server特權(quán)提升漏洞 在本次補(bǔ)丁中得到根本解決。

經(jīng)過(guò)360CERT研判，本次公告中的CVE-2019-0686、CVE-2019-0724（Microsoft Exchange Server特權(quán)提升漏洞） 和 CVE-2019-0626（Windows DHCP 遠(yuǎn)程執(zhí)行代碼漏洞）影響廣泛，危害嚴(yán)重。需要高度注意。

0x01 漏洞概述

• CVE-2019-0686、CVE-2019-0724 和 CVE-2018-8581
  • 該組漏洞為Microsoft Exchange Server中的特權(quán)提升漏洞。需要開(kāi)啟Exchange Web服務(wù)（EWS）和推送通知。要利用此漏洞，攻擊者需要進(jìn)行中間人攻擊，將身份驗(yàn)證請(qǐng)求轉(zhuǎn)發(fā)到Microsoft Exchange Server模擬其他Exchange用戶。成功利用，可以使攻擊者取得Exchange服務(wù)器中任何用戶權(quán)限，導(dǎo)致諸如郵件泄露之類的惡意活動(dòng)。為解決此漏洞，微軟將EWS客戶端與Exchange Server之間建立的通知消息，使用匿名身份驗(yàn)證機(jī)制進(jìn)行流式處理。CVE-2018-8581 在2018年11月份安全更新中沒(méi)有給出補(bǔ)丁，只是建議修改NTLM身份驗(yàn)證的注冊(cè)表值。CVE-2019-0686 和 CVE-2019-0724 是 CVE-2018-8581 兩種攻擊方法，本次安全更新徹底修補(bǔ)了該漏洞。
• CVE-2019-0626
  • 該漏洞為Windows Server DHCP服務(wù)中存在內(nèi)存損壞漏洞。沒(méi)有前置利用條件，攻擊者可以將特制數(shù)據(jù)包發(fā)送到DHCP服務(wù)器，成功利用可以使攻擊者在DHCP服務(wù)中運(yùn)行任意代碼。

0x02 漏洞影響

CVE-2019-0686、CVE-2019-0724 和 CVE-2018-8581

影響范圍：

• Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 26
• Microsoft Exchange Server 2013 Cumulative Update 22
• Microsoft Exchange Server 2016 Cumulative Update 12
• Microsoft Exchange Server 2019 Cumulative Update 1

CVE-2019-0626

影響產(chǎn)品：

• Windows 10 Version 1703 for 32-bit Systems
• Windows 10 Version 1703 for x64-based Systems
• Windows 10 Version 1803 for 32-bit Systems
• Windows 10 Version 1803 for x64-based Systems
• Windows Server, version 1803 (Server Core Installation)
• Windows 10 Version 1803 for ARM64-based Systems
• Windows 10 Version 1809 for 32-bit Systems
• Windows 10 Version 1809 for x64-based Systems
• Windows 10 Version 1809 for ARM64-based Systems
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows 10 Version 1709 for 32-bit Systems
• Windows 10 Version 1709 for 64-based Systems
• Windows 10 Version 1709 for ARM64-based Systems
• Windows Server, version 1709 (Server Core Installation)
• Windows Server, version 1709 (Server Core Installation)
• Windows 10 for 32-bit Systems
• Windows 10 for x64-based Systems
• Windows 10 Version 1607 for 32-bit Systems
• Windows 10 Version 1607 for x64-based Systems
• Windows Server 2016
• Windows Server 2016 (Server Core installation)
• Windows 7 for 32-bit Systems Service Pack 1
• Windows 7 for x64-based Systems Service Pack 1
• Windows 8.1 for 32-bit systems
• Windows 8.1 for x64-based systems
• Windows RT 8.1
• Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 for Itanium-Based Systems Service Pack 2
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
• Windows Server 2008 R2 for x64-based Systems Service Pack 1
• Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
• Windows Server 2012
• Windows Server 2012 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012 R2 (Server Core installation)

0x03 安全建議

經(jīng)過(guò)360CERT研判，“PrivExchange” 和 CVE-2019-0626 漏洞影響廣泛且危害嚴(yán)重，360CERT建議廣大用戶盡快進(jìn)行修補(bǔ)。

兩個(gè)安全問(wèn)題都已發(fā)布了官方安全補(bǔ)丁。

• CVE-2019-0686、CVE-2019-0724 可以從下面連接中，找到相應(yīng)系統(tǒng)的補(bǔ)丁https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686
• CVE-2019-0626 可以從下面連接中，找到相應(yīng)系統(tǒng)的補(bǔ)丁https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0626

“PrivExchange”臨時(shí)修補(bǔ)指南：

阻止創(chuàng)建EWS訂閱可以防止EWS泄露Exchange服務(wù)器NTLM憑據(jù),從而臨時(shí)修補(bǔ)CVE-2019-0686。具體操作如下：

• 創(chuàng)建一個(gè)阻止所有EWS訂閱的策略：`New-ThrottlingPolicy -Name NoEwsSubscriptions -ThrottlingPolicyScope Organization -EwsMaxSubscriptions 0`
• 創(chuàng)建常規(guī)策略，該策略可用于將必須具有完整EWS功能的受信任用戶列入白名單：`New-ThrottlingPolicy -Name AllowEwsSubscriptions -ThrottlingPolicyScope Regular -EwsMaxSubscriptions 5000`
• 將常規(guī)策略分配給任何用戶：`Set-Mailbox User1 -ThrottlingPolicy AllowEwsSubscriptions`

限制EWS訂閱，并不能從根本上解決問(wèn)題。360CERT強(qiáng)烈建議安裝相關(guān)補(bǔ)丁。

0x04 時(shí)間線

2019-02-13?微軟發(fā)布例行安全更新

2019-02-13?360CERT 研判漏洞，發(fā)布漏洞預(yù)警公告

0x05 參考鏈接

1. MSRC 官方公告