zoukankan      html  css  js  c++  java

  • ADV190007

    Microsoft Exchange Server中存在一个特权提升漏洞。成功利用此漏洞的攻击者可能会尝试模仿Exchange服务器的任何其他用户。要利用此漏洞,攻击者需要执行中间人攻击才能将身份验证请求转发到Microsoft Exchange Server,从而允许模拟其他Exchange用户。

    要解决此漏洞,可以定义EWSMaxSubscriptions的限制策略,并将其应用于值为零的组织。这将阻止Exchange服务器发送EWS通知,并阻止依赖于EWS通知的客户端应用程序正常运行。受影响的应用程序示例包括Outlook for Mac,Skype for Business,通知依赖LOB应用程序以及一些iOS本机邮件客户端。

    例子:

    New-ThrottlingPolicy -Name AllUsersEWSSubscriptionBlockPolicy -EwsMaxSubscriptions 0 -ThrottlingPolicyScope Organization

    计划更新正在开发中。如果您确定您的系统存在高风险,那么您应该评估建议的解决方法。

    安装更新后,您可以使用以下命令撤消上述操作:

    Remove-ThrottlingPolicy -Identity AllUsersEWSSubscriptionBlockPolicy

    软件更新

    下列软件版本会受到影响。未列出的版本的支持生命周期已结束或不受影响。

    产品 影响 严重性
    Microsoft Exchange Server 2010 Service Pack 3更新汇总26 特权提升
    Microsoft Exchange Server 2013累积更新22 特权提升
    Microsoft Exchange Server 2016累积更新12 特权提升
    Microsoft Exchange Server 2019累积更新1 特权提升

    缓解

    • 博客文章中描述的问题:滥用Exchange:远离域管理员的一个API调用仅影响OnPrem部署。Exchange Online不受影响。
    • 上面引用的博客中描述的攻击场景需要NTLM。已禁用NTLM的系统不受影响。
    • 如果OnPrem部署遵循Microsoft的安全最佳实践指南并且已实施Active Directory拆分权限,则攻击者无法破坏域管理员帐户。有关在Exchange中使用Active Directory拆分权限的详细信息,请参阅了解拆分权限:Exchange 2013帮助注意:本文档涉及Exchange Server 2013,但相同的模型可用于更高版本的Exchange Server。

    变通方法

    防止EWS泄露Exchange服务器的NTLM凭据的一种方法是阻止创建EWS订阅。这将对依赖EWS客户端(如Outlook for Mac)的用户产生负面影响,并且还可能导致依赖于EWS的第三方软件出现意外行为。它还可以减少服务器可以支持的EWS连接数。由于可以按用户应用限制策略,因此可以将需要EWS功能的受信任用户列入白名单。

    注意:强烈建议客户在将其部署到生产环境之前测试变通方法,以了解潜在影响。

    要阻止创建EWS订阅,请使用以下步骤:

    1. 创建一个阻止所有EWS订阅的组织范围策略:

       `New-ThrottlingPolicy -Name NoEwsSubscriptions -ThrottlingPolicyScope Organization -EwsMaxSubscriptions 0`

    2. 创建常规范围的策略,该策略可用于将必须具有完整EWS功能的受信任用户列入白名单:

       `New-ThrottlingPolicy -Name AllowEwsSubscriptions -ThrottlingPolicyScope Regular -EwsMaxSubscriptions 5000`

    3. 将常规策略分配给任何此类用户:

        `Set-Mailbox User1 -ThrottlingPolicy AllowEwsSubscriptions`

    关于此EWS订阅限制解决方法的注意事项:客户的风险评估必须权衡变通方法获得的保护与变通方可能产生的不良副作用相比较。以下是EWS订阅限制策略可能产生的副作用:

    此解决方法可能会破坏Outlook for Mac,Skype for Business客户端和Apple Mail客户端,导致它们无法正常运行。重要的是,限制策略不会阻止自动发现和忙/闲请求。EWS限制策略还将对LOB和其他需要EWS通知的第三方应用程序产生负面影响。可以创建第二个策略以将可信帐户列入白名单。

    原文链接:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/adv190007

    欢迎关注微信公众号:小温研习社
  • 相关阅读:
    常用git指令操作
    eclipse中常用快捷键整理
    Java Dom解析xml文件
    Spring IOC的注入方式
    Spring framework bean的作用域,生命周期
    android中的bundle使用
    python ftplib模块
    python requests用法总结
    限制字符串 剔除费需要字符然后将多余空格删除
    MFC Edit Control 编辑控件 属性和API
  • 原文地址:https://www.cnblogs.com/wenzhongxiang/p/10362972.html
Copyright © 2011-2022 走看看