分類: 事件通告

研究人員發現所有Microsoft Exchange Server都擁有相同的 validationKey 和
decryptionKey。駭客可透過竄改參數，發動反序列化攻擊，達到遠端指令執行，建議管理者盡速進行更新。

【影響範圍】 

• Microsoft Exchange Server 2019
• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2013
• Microsoft Exchange Server 2010

【細節描述】

CVE-2020-0688是Exchange伺服器未在安裝時建立唯一金鑰，使攻擊者可透過授權使用者取得金鑰，傳送特製
payload到Exchange伺服器，造成記憶體毀損。

攻擊者需先透過授權使用者資訊，以開發者工具取得ViewStateUserKey與__VIEWSTATEGENERATOR值後，
利用公開的.NET參數反序列化工具造訪特定頁面，便可遠端執行任意程式碼。

【建議措施】

請依照微軟建議進行更新

• Microsoft Exchange Validation Key Remote Code
  Execution Vulnerability

【更新紀錄】

• v1.0 (2020/05/12)：發佈事件通告。 

NCCST (2020/03/16)
ZERO DAY INITIATIVE (2020/02/27)
cve-2020-0688(GitHub) (2020/02/25)
Microsoft (2020/02/11)