一、漏洞描述

该漏洞实质是由SSRF （Server-Side Request Forgery：服务器端请求伪造）漏洞和其他通信机制相结合造成的。Exchange允许任何用户为推送订阅指定所需的URL，服务器将尝试向这个URL发送通知，漏洞存在于exchange服务器使用CredentialCache.Defaultcredentials进行连接的场景。

现实利用场景中攻击者只需拥有合法Exchange邮箱账户，只要向Exchange Server所在的主机发送精心构造的恶意数据包，触发漏洞导致向受害者邮箱中添加入站(inbond)规则，之后受害者的所有入站(inbond)电子邮件都将转发给攻击者。由于攻击发生在攻击者和服务器之间，故大多数情况下受害者几乎是无感知的。

在Exchange Web Service(EWS)中，CredentialCache.Defaultcredentials运行在NT AUTHORITY\SYSTEM权限之上。这将导致Exchange Server向攻击者的服务器发送NTLM散列。允许使用这些NTLM散列来进行HTTP身份验证。

 如下图：

现在可以使用这些散列来访问Exchange Web Service(EWS)。由于它运行在NT AUTHORITYSYSTEM级别，攻击者可以获得TokenSerializationRight的“特权”会话。然后SOAP请求头存在的SSRF漏洞可以使其冒充任何用户，从而导致该提权漏洞的产生。

二、受影响版本：

• Microsoft Exchange Server 2010
• Microsoft Exchange Server 2013
• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019

三、修复方法

升级补丁：微软建议的临时处置措施：(删除注册表键值)

打开CMD命令行，并输入以下命令：

删除注册表键值后不需要重新启动系统或Exchange Server。而且微软强调将来Exchange Server的更新在默认情况下将不再启用该注册表项：

值得注意的是以上处理方法只适用于单台Exchange服务器的场景，对集群部署的Exchange服务无效。在漏洞得到修补前，我们建议Exchange管理员密切关注服务器活动日志，重点检查重要帐号的入站规则设置行为以发现可能的攻击。

四、参考资料

https://www.zerodayinitiative.com/blog/2018/12/19/an-insincere-form-of-flattery-impersonating-users-on-microsoft-exchange