ADV190007 - “PrivExchange” 特权提升漏洞的指南
Microsoft Exchange Server中存在一个特权提升漏洞。成功利用此漏洞的攻击者可能会尝试模仿Exchange服务器的任何其他用户。要利用此漏洞,攻击者需要执行中间人攻击才能将身份验证请求转发到Microsoft Exchange Server,从而允许模拟其他Exchange用户。 要解决此漏洞,可以定义EWSMaxSubscriptions的限制策略,并将其应用于值为零的组织。这将阻止Exchange服务器发送EWS通知,并阻止依赖于EWS通知的客户端应用程序正常运行。受影响的应用程序示例包括Outlook for Mac,Skype for Business,通知依赖LOB应用程序以及一些iOS本机邮件客户端。 例子:
计划更新正在开发中。如果您确定您的系统存在高风险,那么您应该评估建议的解决方法。 安装更新后,您可以使用以下命令撤消上述操作:
软件更新下列软件版本会受到影响。未列出的版本的支持生命周期已结束或不受影响。
缓解
变通方法防止EWS泄露Exchange服务器的NTLM凭据的一种方法是阻止创建EWS订阅。这将对依赖EWS客户端(如Outlook for Mac)的用户产生负面影响,并且还可能导致依赖于EWS的第三方软件出现意外行为。它还可以减少服务器可以支持的EWS连接数。由于可以按用户应用限制策略,因此可以将需要EWS功能的受信任用户列入白名单。 注意:强烈建议客户在将其部署到生产环境之前测试变通方法,以了解潜在影响。 要阻止创建EWS订阅,请使用以下步骤:
关于此EWS订阅限制解决方法的注意事项:客户的风险评估必须权衡变通方法获得的保护与变通方可能产生的不良副作用相比较。以下是EWS订阅限制策略可能产生的副作用: 此解决方法可能会破坏Outlook for Mac,Skype for Business客户端和Apple Mail客户端,导致它们无法正常运行。重要的是,限制策略不会阻止自动发现和忙/闲请求。EWS限制策略还将对LOB和其他需要EWS通知的第三方应用程序产生负面影响。可以创建第二个策略以将可信帐户列入白名单。 原文链接:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/adv190007 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- windows-server-2003 – 对于Windows nslookup,“默认服务器
- Win10下使用默认的照片查看器
- windows – 从域工作站远程卸载软件
- windows-server-2012-r2 – CSV上Hyper-V存储的可悲性能
- 支持64位的处理器/ 64位Windows Server 2008 / IIS7上的32位
- windows-server-2008 – 领域的技术定义是什么?
- xaml – 使用ScrollViewer内部捕获操作类事件(Windows Phon
- 为什么Windows Smart Screen在购买新证书后突然“保护”了P
- windows – 使用IT管理软件
- windows – 为什么PE需要Original First Thunk(OFT)?