关于Exchange邮件系统漏洞（CVE-2018-8587）的安全预警

一、概要

近日，国外安全研究员发布了Windows Exchange电子邮件组件存在一种新型利用方式，通过CVE-2018-8587的SSRF漏洞获取域控权限，从而获取域控管理范围内所有Windows主机的权限。漏洞利用的前置条件是攻击者需要拥有域内任意一个账户的邮箱帐号密码并且Exchange服务器使用了Shared permission模型(默认启用)。

请各位租户注意防范。

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急。）

三、影响范围

Microsoft Exchange Server 版本2010、2013、2016、2019。

四、排查和处置方法

排查方法：

1. 检查系统版本是否在受影响范围内；

2. 检查域控服务器上的用户，是否存在特殊权限的用户。

处置方案：

目前微软官方还没有推出最新的补丁来防止该攻击方式，并且微软之前针对CVE-2018-8581的补丁也不能防御改攻击方式来获取域控权限，受影响的租户可以参考以下方法来修复漏洞。

1.     参考以下链接将 Exchange 权限模型更改为 Split Permission Model：

https://docs.microsoft.com/en-us/exchange/understanding-split-permissions-exchange-2013-help https://docs.microsoft.com/en-us/exchange/managing-split-permissions-exchange-2013-help

2. 给所有域控服务器配置 Ldaps Channel Binding。 （注意此操作需专业技能，有可能造成兼容性问题，请联系微软获取详细的操作指南。）

注意：修复漏洞前请将资料备份，并进行充分测试。