CVE-2018-8581

Microsoft Exchange Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

A privilege escalation vulnerability exists in Microsoft Exchange Server. An attacker who successfully exploited this vulnerability could attempt to impersonate any other user of the Exchange server.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2018-8581) — это ошибка в компоненте PushSubscription сервера Microsoft Exchange, позволяющая злоумышленнику с правами обычного пользователя (например, украденными учетными данными) выполнить запрос на подписку на уведомления от имени любого другого пользователя в системе. В результате атакующий может: * Получать уведомления о новых письмах целевого пользователя. * Перехватывать и читать содержимое электронных писем. * Эскалировать привилегии в рамках почтовой системы.

Как исправить

Установите официальный патч от Microsoft. Требуемая версия обновления зависит от вашей версии Exchange Server.

  1. Определите точную версию Exchange Server (например, через ECP или PowerShell):
Get-ExchangeServer | Format-List Name, Edition, AdminDisplayVersion
  1. Установите соответствующее накопительное обновление (Cumulative Update, CU) и последующие обновления безопасности. Для CVE-2018-8581 требуются:
    • Exchange Server 2010: Установите Обновление безопасности для Exchange 2010 (KB4471392). Предварительно необходимо установить Rollup 30 для Exchange 2010 SP3.
    • Exchange Server 2013: Установите Cumulative Update 22 или более позднюю версию, а затем Обновление безопасности (KB4471389).
    • Exchange Server 2016: Установите Cumulative Update 11 или более позднюю версию, а затем Обновление безопасности (KB4471389).
    • Exchange Server 2019: Установите Cumulative Update 1 или более позднюю версию, а затем Обновление безопасности (KB4471389).

Важно: Все обновления необходимо скачивать с официального портала Microsoft Update Catalog. Перед установкой обязательно создайте резервную копию сервера.

Временное решение

Если немедленная установка патча невозможна, выполните следующие шаги для снижения риска:

  1. Отключите PushSubscription для всех пользователей с помощью PowerShell:
Get-PushSubscription | Remove-PushSubscription -Confirm:$false

Внимание: Это отключит push-уведомления для мобильных устройств (ActiveSync).

  1. Ограничьте доступ к точкам входа Exchange (Client Access Server) с помощью брандмауэра или WAF:

    • Настройте правила WAF для блокировки или строгой проверки HTTP-запросов к URL-адресам, связанным с PushSubscription (например, /Microsoft-Server-ActiveSync).
    • Ограничьте входящие подключения к портам 443 (HTTPS) и 80 (HTTP) только доверенным IP-адресам, если это возможно.

  2. Усильте мониторинг:

    • Включите аудит в Exchange и отслеживайте в журналах (Event Viewer, IIS logs) подозрительную активность, связанную с созданием или изменением подписок.
    • Настройте оповещения на множественные попытки доступа к почтовым ящикам с разных учетных записей за короткий промежуток времени.

Примечание: Эти меры носят временный характер и не заменяют установку официального патча.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей