Microsoft Exchange Server中存在一个特权提升漏洞。成功利用此漏洞的攻击者可能会尝试模仿Exchange服务器的任何其他用户。要利用此漏洞,攻击者需要执行中间人攻击才能将身份验证请求转发到Microsoft Exchange Server,从而允许模拟其他Exchange用户。
要解决此漏洞,可以定义EWSMaxSubscriptions的限制策略,并将其应用于值为零的组织。这将阻止Exchange服务器发送EWS通知,并阻止依赖于EWS通知的客户端应用程序正常运行。受影响的应用程序示例包括Outlook for Mac,Skype for Business,通知依赖LOB应用程序以及一些iOS本机邮件客户端。
例子:
New-ThrottlingPolicy -Name AllUsersEWSSubscriptionBlockPolicy -EwsMaxSubscriptions 0 -ThrottlingPolicyScope Organization
计划更新正在开发中。如果您确定您的系统存在高风险,那么您应该评估建议的解决方法。
安装更新后,您可以使用以下命令撤消上述操作:
Remove-ThrottlingPolicy -Identity AllUsersEWSSubscriptionBlockPolicy
下列软件版本会受到影响。未列出的版本的支持生命周期已结束或不受影响。
| 产品 | 影响 | 严重性 |
| Microsoft Exchange Server 2010 Service Pack 3更新汇总26 | 特权提升 | 无 |
| Microsoft Exchange Server 2013累积更新22 | 特权提升 | 无 |
| Microsoft Exchange Server 2016累积更新12 | 特权提升 | 无 |
| Microsoft Exchange Server 2019累积更新1 | 特权提升 | 无 |
防止EWS泄露Exchange服务器的NTLM凭据的一种方法是阻止创建EWS订阅。这将对依赖EWS客户端(如Outlook for Mac)的用户产生负面影响,并且还可能导致依赖于EWS的第三方软件出现意外行为。它还可以减少服务器可以支持的EWS连接数。由于可以按用户应用限制策略,因此可以将需要EWS功能的受信任用户列入白名单。
注意:强烈建议客户在将其部署到生产环境之前测试变通方法,以了解潜在影响。
要阻止创建EWS订阅,请使用以下步骤:
创建一个阻止所有EWS订阅的组织范围策略:
`New-ThrottlingPolicy -Name NoEwsSubscriptions -ThrottlingPolicyScope Organization -EwsMaxSubscriptions 0`
创建常规范围的策略,该策略可用于将必须具有完整EWS功能的受信任用户列入白名单:
`New-ThrottlingPolicy -Name AllowEwsSubscriptions -ThrottlingPolicyScope Regular -EwsMaxSubscriptions 5000`
将常规策略分配给任何此类用户:
`Set-Mailbox User1 -ThrottlingPolicy AllowEwsSubscriptions`
关于此EWS订阅限制解决方法的注意事项:客户的风险评估必须权衡变通方法获得的保护与变通方可能产生的不良副作用相比较。以下是EWS订阅限制策略可能产生的副作用:
此解决方法可能会破坏Outlook for Mac,Skype for Business客户端和Apple Mail客户端,导致它们无法正常运行。重要的是,限制策略不会阻止自动发现和忙/闲请求。EWS限制策略还将对LOB和其他需要EWS通知的第三方应用程序产生负面影响。可以创建第二个策略以将可信帐户列入白名单。
原文链接:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/adv190007
ADV190007 - “PrivExchange” 特权提升漏洞的指南
原文:https://www.cnblogs.com/wenzhongxiang/p/10362972.html