细数微软Exchange 的那些漏洞

今天，多个安全厂家都发布了微软Exchange多个高危漏洞的通告，涉及漏洞编号CVE-2021-26855、CVE-2021-26857、CVE-2021-26858/CVE-2021-27065。

CVE-2021-26855：服务端请求伪造漏洞
攻击者能够发送任意HTTP请求并通过Exchange Server进行身份验证。

CVE-2021-26857：反序列化漏洞
攻击者可以在Exchange服务器上以SYSTEM身份运行代码。

CVE-2021-26858/CVE-2021-27065：任意文件写入漏洞
攻击者通过Exchange服务器进行身份验证后，可以将文件写入服务器上的任何路径。

事实上，近年来Exchange陆续出现了多个的高危漏洞，接下来就让我们顺便来细数一下那些可以撸穿邮件域控的漏洞。

---

CVE-2018-8581：任意用户位置漏洞

该漏洞允许任何经过身份验证的用户冒充 ExchangeServer 上的其他任意用户，可用来盗取exchange的管理员权限。

攻击方式一：将经过验证的普通用户接管管理员所有邮件信息

利用条件：普通账号。

攻击脚本：

https://github.com/WyAtu/CVE-2018-8581

攻击方式二：将普通用户提升至域管理员权限。

利用条件：普通账号，在内网发起攻击。

https://github.com/dirkjanm/PrivExchange  
https://github.com/SecureAuthCorp/impacket

CVE-2019-1040：Windows NTLM篡改漏洞

攻击方式一：攻击域Exchange  Server

利用姿势：使用中继的LDAP身份验证，为攻击者帐户授予DCSync权限。攻击者帐户使用DCSync转储AD中的所有密码哈希值。

攻击脚本：

https://github.com/Ridter/CVE-2019-1040

利用方式二：攻击域控服务器

利用姿势：使用中继的LDAP身份验证，将目标服务器的基于资源的约束委派权限授予攻击者控制下的计算机帐户。攻击者作为受害者服务器上的任何用户进行身份验证。

攻击脚本：

https://github.com/Ridter/CVE-2019-1040-dcpwn

CVE-2020-0688：Microsoft Exchage 远程代码执行漏洞

漏洞描述：当攻击者通过各种手段获得一个可以访问Exchange Control Panel （ECP）组件的用户账号密码，就可以在被攻击的exchange上执行任意代码，直接获取服务器权限。

利用条件：Exchange Server 2010 SP3/2013/2016/2019，普通账号。

攻击脚本：

https://github.com/random-robbie/cve-2020-0688

CVE-2020-16875：Microsoft Exchage 远程代码执行漏洞

漏洞描述：远程攻击者通过构造特殊的cmdlet参数，可造成任意命令执行。

利用条件：Exchange Server 2016/2019，普通账号。

攻击脚本：

https://srcincite.io/pocs/cve-2020-16875.py.txt

CVE-2020-17144：Microsoft Exchage 远程代码执行漏洞

漏洞描述：远程攻击者通过构造特殊的cmdlet参数，绕过身份验证利用改漏洞可造成任意远程命令执行。

利用条件：Exchange2010，普通账号。

攻击脚本1：

https://github.com/Airboi/CVE-2020-17144-EXP

攻击脚本2：

https://github.com/zcgonvh/CVE-2020-17144