一、基本情况

      近日，监测发现在微软发布的2月份安全更新中包含一个重要级别的补丁，用于修复存在于 Microsoft Exchange Server中的远程代码执行漏洞（CVE-2020-0688）。该漏洞影响所有受支持的Microsoft Exchange Server，成功利用此漏洞的攻击者可以完全控制受影响的Exchange服务器，在Exchange服务器上执行任意代码、随意窃取或伪造公司电子邮件通信。

      二、攻击原理

      近日，监测发现在微软发布的2月份安全更新中包含一个重要级别的补丁，用于修复存在于 Microsoft Exchange Server中的远程代码执行漏洞（CVE-2020-0688）。该漏洞影响所有受支持的Microsoft Exchange Server，成功利用此漏洞的攻击者可以完全控制受影响的Exchange服务器，在Exchange服务器上执行任意代码、随意窃取或伪造公司电子邮件通信。

      该漏洞是由于Exchange Control Panel(ECP)组件中使用了静态秘钥（validationKey和decryptionKey）所导致的。

      所有Microsoft Exchange Server在安装后的web.config文件中都拥有相同的validationKey和decryptionKey。这些密钥用于保证ViewState的安全性。而ViewState是ASP.NET Web应用以序列化格式存储在客户机上的服务端数据。客户端通过__VIEWSTATE请求参数将这些数据返回给服务器。

      经过身份验证的攻击者可以从身份验证的session中收集ViewStateUserKey，并在登录请求的原始响应中获得__VIEWSTATEGENERATOR。通过这两个值可以利用YSoSerial.net工具生成恶意的ViewState，从而在ECP中执行任意的.NET代码。由于ECP应用程序是以SYSTEM权限运行的，因而成功利用此漏洞的攻击者可以以SYSTEM身份执行任意代码，并完全控制目标Exchange服务器。

      三、影响范围

      受影响版本：

      Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30

      Microsoft Exchange Server 2013 Cumulative Update 23

      Microsoft Exchange Server 2016 Cumulative Update 14

      Microsoft Exchange Server 2016 Cumulative Update 15

      Microsoft Exchange Server 2019 Cumulative Update 3

      Microsoft Exchange Server 2019 Cumulative Update 4

      四、处置建议

      目前微软官方已发布针对受影响版本的补丁程序，建议用户及时安装官方发布的补丁完成漏洞修复。

      官方通告：

      https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688

      五、参考链接

      1）https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688