1、基本情况

　　Microsoft Exchange Server存在一处权限提升漏洞，CVE编号为CVE-2018-8581。利用此漏洞最低限度可以导致越权访问任意Exchange用户的邮件信息，结合特定的场景和其他安全问题可实现权限提升。

　　2、攻击原理

　　该漏洞实质是由SSRF （Server-Side Request Forgery：服务器端请求伪造）漏洞和其他通信机制相结合造成的。Exchange允许任何用户为推送订阅指定所需的URL，服务器将尝试向这个URL发送通知，漏洞存在于Exchange服务器使用CredentialCache.DefaultCredentials进行连接的场景。

　　现实利用场景中攻击者只需拥有合法Exchange邮箱账户，只要向Exchange Server所在的主机发送精心构造的恶意数据包，触发漏洞导致向受害者邮箱中添加入站(inbond)规则，之后受害者的所有入站(inbond)电子邮件都将转发给攻击者。由于攻击发生在攻击者和服务器之间，故大多数情况下受害者几乎是无感知的。

　　3、影响范围

　　Microsoft Exchange Server 2010

　　Microsoft Exchange Server 2013

　　Microsoft Exchange Server 2016

　　Microsoft Exchange Server 2019

　　4、处置建议

　　1) 目前微软官方尚未对此漏洞进行修复，请用户随时关注微软公告，及时更新补丁；

　　2) 微软建议的临时处置措施：(删除注册表键值)

　　打开CMD命令行，并输入以下命令：

　　regdelete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa /v DisableLoopbackCheck/f

　　删除注册表键值后不需要重新启动系统或Exchange Server。而且微软强调将来Exchange Server的更新在默认情况下将不再启用该注册表项：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

　　以上处理方法只适用于单台Exchange服务器的场景，对集群部署的Exchange服务无效，目前微软寻求更完整彻底的解决方案。在漏洞得到修补前，建议Exchange管理员密切关注服务器活动日志，重点检查重要帐号的入站规则设置行为以发现可能的攻击。

　　5、 参考链接

　　1)https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8581

　　2)https://www.zerodayinitiative.com/blog/2018/12/19/an-insincere-form-of-flattery-impersonating-users-on-microsoft-exchange