萬分緊急！微軟Exchange server被爆安全漏洞！內附最新解決方案

今日獲悉微軟Exchange server 產品被爆史上最嚴重安全漏洞，當前支持的ExchangeServer 全系版本均中招！
據微軟中國企業服務首席解決方案專家、微軟大師張美波分享的信息：Trend Micro 發現了Exchange Server 產品歷史上最為嚴重的系統漏洞，發送一封特定格式的郵件即可遠程以系統賬戶執行任意代碼，相關信息可以參考以下微軟安全公告：
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8302
關于這個 Exchange Server 的安全漏洞，今天已經正式發布了相關更新。

Exchange Server 2010緊急對應方案

1、針對 Exchange Server 2010 的安全更新，是通過ExchangeServer 2010 SP3 RU23 實現，只要 Exchange Server 2010 是 SP3 及以上版本即可安裝，

下載地址為：
UpdateRollup 23 for Exchange Server 2010 Service Pack 3
https://www.microsoft.com/en-us/download/details.aspx?id=57219
2、完成以上先決條件后，再安裝，微軟最新發布的CVE-2018-8302安全更新
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8302

Exchange Sever 2013/2016緊急對應方案

1、針對 Exchange Server 2013 和 Exchange Server 2016，由于我們從 Exchange Server 2013 開始修改了產品支持模式，每個季度發布一次累計更新（CU），而僅支持最近的兩個 CU 版本，因此僅針對目前支持的 Exchange Server 2013 CU20/CU21、ExchangeServer 2016 CU9/CU10 發布了安裝更新。如果需要安裝該安全更新，首先需要將 ExchangeServer 2013、Exchange Server 2016 安裝到對應支持的 CU 版本，然后才能安裝該更新。下載地址為：
Descriptionof the security update for Microsoft Exchange Server 2013 and 2016: August 14,2018
https://support.microsoft.com/en-us/help/4340731/description-of-the-security-update-for-microsoft-exchange-server-2013
2、完成以上先決條件后，再安裝，微軟最新發布的CVE-2018-8302安全更新
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8302
發現這個安全問題的 Trend Micro ZeroDay Initiative 團隊發布了一篇Blog，對該安全問題進行了詳細的描述。注意目前×××代碼已經可能外泄了。

安全漏洞相關講解

1、目前 POC ×××代碼需要依賴于Exchange Server 的UM角色。注意這個角色在Exchange Server 2010 中是獨立安裝的服務器角色，在 Exchange Server2013/2016 中是集成安裝的服務器角色；
2、***者需要預先上傳惡意×××代碼（.NET serializationpayload）到目標用戶郵箱（×××代碼中是通過EWS上傳；需經過身份驗證，例如上傳到自己的用戶郵箱），并修改用戶郵箱收件箱文件夾的件夾的TopNWords.Data屬性（公屬性（公共屬性，通過身份驗證的用戶即可修改自身郵箱中的對應屬性）；Trend Micro Zero Day Initiative 團隊認為微軟的安全更新中，禁止了用戶去訪問去訪問TopNWords.Data屬性（目屬性（目前尚未得到 Exchange產品組的確認）。
3、***者發送語音郵件到對應的目標用戶郵箱，觸發 Exchange 服務器對語音郵件進行轉換處理；
4、此時，觸發執行之前***者上傳的惡意×××代碼，以本地系統賬戶執行。

關于上述流程中：
1、TopN Words 是掃描、分析并記錄用戶所使用的最常用的詞語信息，通過 TopN Words Assistant 實現；
2、TopN Words Assistant 不定期（近乎實時）掃描用戶郵箱中的語音郵件，并實現其功能；
3、TopN Words Assistant 集成在Microsoft Exchange Mailbox Assistants服務中，隸屬于Exchange Server MBX 服務器角色上的服務；
4、 Microsoft Exchange Mailbox Assistants服務運行在本地系統賬戶之下。
按照慣例，POC×××代碼泄露之后，可能會被分析利用并進一步加以擴大×××范圍，因此請大家一定要盡快安裝相關更新。