当前位置: 移动技术网 > 科技>操作系统>windows > CVE-2019-0686|Microsoft Exchange特权提升漏洞补丁已发布

CVE-2019-0686|Microsoft Exchange特权提升漏洞补丁已发布

2019年02月14日  | 移动技术网科技  | 我要评论

莆田万达广场,巴西国旗遭焚烧,御宝羊奶粉怎么样

microsoft exchange server中存在一个特权提升漏洞。成功利用此漏洞的攻击者可以获得与exchange服务器的任何其他用户相同的权限。这可能允许攻击者执行诸如访问其他用户的邮箱之类的活动。

利用此漏洞需要在受影响的环境中启用和使用exchange web服务(ews)和推送通知。要利用此漏洞,攻击者需要执行中间人攻击才能将身份验证请求转发到microsoft exchange server,从而允许模拟其他exchange用户。

为解决此漏洞,microsoft已将ews客户端与exchange server之间建立的通知合同更改为不允许服务器对已通过身份验证的通知进行流式处理。相反,这些通知将使用匿名身份验证机制进行流式处理。

对应版本安全更新如下:

产品文章下载影响严重性替换项
microsoft exchange server 2010 service pack 3 update rollup 26 特权提升 重要 4468742
microsoft exchange server 2013 cumulative update 22 特权提升 重要
microsoft exchange server 2016 cumulative update 12 特权提升 重要
microsoft exchange server 2019 cumulative update 1 安全更新 特权提升 重要

缓解措施

要解决此漏洞,可以定义ewsmaxsubscriptions的限制策略,并将其应用于值为零的组织。这将阻止exchange服务器发送ews通知,并阻止依赖于ews通知的客户端应用程序正常运行。受影响的应用程序示例包括outlook for mac,skype for business,通知依赖lob应用程序以及一些ios本机邮件客户端。

例:

new-throttlingpolicy -name allusersewssubscriptionblockpolicy -ewsmaxsubscriptions 0 -throttlingpolicyscope organization

计划更新正在开发中。如果您确定您的系统存在高风险,那么您应该评估建议的解决方法。

安装更新后,您可以使用以下命令撤消上述操作:

remove-throttlingpolicy allusersewssubscriptionblockpolicy

解决方法

microsoft尚未发现此漏洞的任何变通方法。

此更新是否与microsoft安全通报adv190007有关?

与cve-2019-0686和cve-2019-0724相关联的更新解决了microsoft安全通报adv190007中讨论的漏洞。鼓励已实施安全通报中列出的变通方法的客户在应用此更新后将其删除以完全恢复以前的功能。

您可能感兴趣的文章:

如对本文有疑问,请在下面进行留言讨论,广大热心网友会与你互动!! 点击进行留言回复

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网