针对CVE-2026-45504漏洞的公开概念验证(PoC)利用代码已经发布,这个高危级服务器端请求伪造(SSRF)漏洞存在于微软Exchange Server中,攻击者能够通过任意文件读取实现权限提升。该漏洞影响本地部署的Exchange Server 2016和2019(包括订阅版),微软已在2026年6月9日的安全更新中修复。
漏洞技术原理
CVE-2026-45504产生于Exchange与SharePoint及WOPI集成时生成WAC文档预览URL的缺陷。在存在漏洞的流程里,Exchange使用GetTokenRequestWebResponse和GetWacUrl等辅助函数,这些函数会调用OneDriveProUtilities.TryTwice,基于攻击者可控的URL发起HTTP请求,然后解析包含WebApplicationUrl、AccessToken和AccessTokenTtl的OData XML响应。
由于Exchange没有验证WOPI提供商返回的WebApplicationUrl字段的URL方案,攻击者可以提供非HTTP方案(比如file://),这个方案会被直接用来构建最终的WAC URL。
权限提升利用机制
缺失的验证将SSRF原语转变成了Exchange服务器上的任意文件读取漏洞。利用过程依赖URI处理中的片段字符#技巧:当攻击者控制的WOPI端点返回形如file:///C:/windows/win.ini#的WebApplicationUrl时,Exchange会为其附加OAuth查询参数形成完整URL,但URI解析器会把#后面的内容视为片段而忽略,实际访问的路径仍然是file:///C:/windows/win.ini。
通过选择敏感路径,攻击者可以窃取配置文件、凭据材料等关键数据,进而实现权限提升。要实施攻击,只需要一个低权限的Exchange邮箱账户以及网络访问权限。
攻击链分析
典型的攻击通过Exchange Web Services创建ReferenceAttachment实现,其ProviderEndpointUrl指向攻击者控制的服务器。当受害者在Outlook网页版或其他Exchange客户端中预览该附件时,Exchange会自动触发WOPI令牌获取链,向攻击者的端点发送GetWopiTargetPropertiesByUrl请求。恶意的WOPI响应注入精心构造的file:// WebApplicationUrl,从而触发本地文件读取。
风险与缓解措施
根据HawkTrace披露,公开的PoC已经证实在Exchange Server 2019上可以读取C:\Windows\win.ini等敏感文件。
微软将这一漏洞评为权限提升漏洞,CVSS v3.1评分为8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H),强调低权限认证用户通过网络利用时,会对机密性、完整性和可用性造成高影响。
安全更新适用于Exchange Server 2016 CU23、Exchange Server 2019 CU14/CU15以及Exchange Server订阅版RTM(分别对应KB5094144、KB5094142、KB5094140和KB5094139)。微软最初评估漏洞利用可能性较低,但功能性利用代码的发布增加了威胁行为者攻击未修补系统的风险。
管理员应当立即应用2026年6月9日的安全更新,并核实服务器的版本号与微软文档中修补后的构建号是否匹配。在全面修补之前,建议采取以下缓解措施:
- 强化Exchange和EWS端点的访问控制
- 限制Exchange服务器对外部不可信站点的出站流量
- 监控指向未知外部域的异常EWS引用附件
从检测角度看,将异常的WOPI/WAC令牌请求、与攻击者基础设施的出站连接以及Exchange主机上意外的本地文件访问行为关联起来,有助于识别针对CVE-2026-45504的利用尝试。
参考来源:
PoC Exploit Released for Microsoft Exchange Server Elevation of Privilege Vulnerability
https://cybersecuritynews.com/poc-exploit-released-exchange-vulnerability/ | 
发表于 昨天 00:25
|
查看: 15|
回复: 0
