一 漏洞概述

2020 年 2 月 11 日，微软发布了针对 Exchange Server 中的.Net 反序列化远程代码执行漏洞 CVE-2020-0688 的补丁程序。

Microsoft Exchange Server 是微软公司开发的电子邮件服务组件，可以被用来构架应用于企业、学校的邮件系统甚至于免费邮件系统。也可以用于开发工作流、知识管理系统、Web 系统或者是其他消息系统。

漏洞发生在 Exchange Control Panel （ECP）组件中。

与每次软件安装都会产生随机密钥不同，所有 Microsoft Exchange Server 在安装后的 web.config 文件中都拥有相同的 validationKey 和 decryptionKey。这些密钥用于保证 ViewState 的安全性。而 ViewState 是 ASP.NET Web 应用以序列化格式存储在客户机上的服务端数据。

客户端通过__VIEWSTATE 请求参数将这些数据返回给服务器。

由于使用了静态密钥，经过身份验证的攻击者可以欺骗目标服务器反序列化恶意创建的 ViewState 数据。当攻击者可以登录 Exchange 邮箱账户时，在 YSoSerial.net 的帮助下，可以在 Exchange Control Panel web 应用上执行任意代码。

二 影响版本

Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 14
Microsoft Exchange Server 2016 Cumulative Update 15
Microsoft Exchange Server 2019 Cumulative Update 3
Microsoft Exchange Server 2019 Cumulative Update 4

三 复现过程

漏洞复现成功的截图如下

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “Microsoft Exchange Server” 进行搜索，共得到 356,029 条 IP 历史记录，主要分布在美国、中国等国家。

五 修复建议

访问 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688下载安装Exchange受影响版本对应的补丁。

 

六 相关链接

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult?q=app%3A%22Microsoft%20Exchange%20Server%22

微软：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688