安全通告
首页技术支持 安全通告

天融信关于Microsoft Exchange Server远程代码执行漏洞(CVE-2020-0688)风险提示

发布时间:2020-02-27查看次数:5052
分享到

0x00背景介绍

2020年02月26日,天融信安全研究员在微软2月份的安全更新中发现Microsoft Exchange Server远程代码执行漏洞(CVE-2020-0688)。Exchange Server 是一个邮件服务器产品,提供了通常所需要的全部邮件服务功能。

天融信安全云服务运营中心通过风险探知系统对我国境内部署的Microsoft Exchange服务器进行抽样统计,结果显示我国境内暴露在互联网中的MicrosoftExchange服务器有1.3万余台,这些服务器开放最多的端口是25和110,其次是587、143和995。按区域统计来看,排名前三的省份是广东省3440台,上海市3328台,北京市1979台。

下图为中国范围内部署的Microsoft Exchange服务器数量排名前五省份或地区:

天融信安全研究员发现在互联网上已出现此漏洞的相关利用工具,建议重视此漏洞并及时更新补丁。

0x01漏洞描述

此漏洞是由于Microsoft Exchange控制面板(ECP)组件中使用静态密钥造成的。根据POC来看,本次利用需要攻击者拥有一个邮箱账号并使用该账号登录服务器,在登陆过程中获取凭证,进而通过获取到的凭证构造出恶意数据,最终向存在漏洞的ECP组件发送包含恶意数据的请求进行攻击。执行此攻击无需用户交互,并且会以系统级别权限执行,从而完全控制Exchange服务器。

0x02漏洞编号

CVE-2020-0688

0x03漏洞等级

高危

0x04受影响版本

Microsoft Exchange Server2010 Service Pack 3 Update Rollup 30
Microsoft Exchange Server2013 Cumulative Update 23
Microsoft Exchange Server 2016Cumulative Update 14
Microsoft Exchange Server2016 Cumulative Update 15
Microsoft Exchange Server2019 Cumulative Update 3
Microsoft Exchange Server2019 Cumulative Update 4

0x05修复建议

建议受影响的MicrosoftExchange Server用户尽快根据微软官方漏洞修复方案进行漏洞修复。
相关补丁链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688

0x06支持热线

天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展,如有需要请拨打7 x 24小时客服联系电话:400-777-0777。

0x07声明

天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。