Exchange Server 2003 中的弱点会导致权限提升

发布日期:2004年1月13日
版本: 1.0

摘要

本文的目标读者:具有运行 Microsoft Outlook® Web Access for Microsoft® Exchange Server 2003 的服务器的系统管理员

漏洞的影响:特权提升

最高严重等级: 中等

建议: 系统管理员应将此安全更新安装到所有运行 Outlook Web Access for Exchange Server 2003 的前端服务器上。Microsoft 还建议将此安全更新安装到所有其他的 Exchange 2003 服务器上，以便以后将它们指定为前端服务器时能够得到保护。

安全更新取代: 无

注意事项: 请在 OWA 和简单邮件传输协议 (SMTP) 邮件流及其他 Internet 信息服务 (IIS) 应用程序的临时中断可接受时应用此更新。

测试过的软件和安全更新下载位置：

受影响的软件:

• Microsoft Exchange Server 2003 - 请下载此更新

不受影响的软件:

• Microsoft Exchange 2000 Server
• Microsoft Exchange Server 5.5

已对上面列出的软件进行了测试，以确定这些版本是否受到影响。其他版本不再受支持 ，它们可能会也可能不会受到影响。

详细技术资料

技术说明：

如果提供 OWA 访问的前端 Exchange 2003 服务器在 Windows 2000 或 Windows Server 2003 上运行 Outlook Web Access (OWA)，后端 Exchange 2003 服务器运行在 Windows Server 2003 上，而且前端和后端服务器间使用的是 NTLM 身份验证，则超文本传输协议 (HTTP) 连接的重复使用中存在一个漏洞。

通过 Exchange 2003 前端服务器和 Outlook Web Access 访问其邮箱的用户可能会连接到另一个用户邮箱，但条件是：此另一邮箱 (1) 也驻留在同一后端邮箱服务器上，(2) 此邮箱最近由其所有者访问过。试图利用此漏洞的攻击者无法预料他们会连接到哪一个邮箱。此漏洞会引起对邮箱的随机且不可靠的访问，并且此漏洞只限于最近通过 OWA 被访问过的邮箱。

默认情况下，Kerberos 身份验证被用作 Exchange Server 2003 前端和后端 Exchange 服务器之间的 HTTP 身份验证方法。此行为仅在以下部署中出现：OWA 在 Exchange 前端/后端服务器配置中使用，并已针对前端和后端 Exchange 服务器之间的 OWA 通信禁用 Kerberos 身份验证方法。

如果在 Exchange 后端服务器上运行 Exchange Server 2003 程序的 Web 站点已经配置为不协商 Kerberos 身份验证，从而使 OWA 回退到使用 NTLM 身份验证,就会暴露出此漏洞。可以暴露此漏洞的唯一已知的情况是更改 Exchange 后端服务器上的 Internet 信息服务 6.0 的默认配置。在因为 Kerberos 身份验证存在问题而例行回退到 NTLM 时，不会暴露此漏洞。当 Microsoft Windows SharePoint Services (WSS) 2.0 安装在同时也作为 Exchange Server 2003 后端的 Windows Server 2003 服务器上时，就会出现这一配置更改。

减轻影响的因素：

• 为了利用此漏洞，攻击者必须首先向 Exchange Server 2003 前端服务器进行身份验证。
• 攻击者能访问到哪个邮箱是随机的，并且不可预测。他们也不是必然能够连接到另一用户的邮箱。
• 只有那些最近使用同一对前端和后端服务器通过 Outlook Web Access 被访问过的邮箱才可能会受影响。
• Exchange 2000 Server 和 Exchange Server 5.5 不受此漏洞的影响。
• 仅以下部署受此漏洞的影响：有一个托管 Outlook Web Access for Exchange 2003 Server 的前端服务器，它运行在 Windows 2000 或 Windows Server 2003 上，并且有一个后端 Exchange Server 2003 运行在 Windows Server 2003 上。
• 默认情况下，Kerberos 身份验证用于 Exchange Server 2003 前端服务器和 Exchange 后端服务器之间的 HTTP 请求。只有在 Exchange 后端服务器上运行 Exchange Server 2003 程序的 Web 站点已经配置为不协商 Kerberos 身份验证，从而导致 OWA 使用 NTLM 身份验证时，才会暴露此漏洞。当 Microsoft Windows SharePoint Services 安装在同时也作为 Exchange Server 2003 后端的 Windows Server 2003 服务器上时，就会出现这一配置更改。

严重等级:

Microsoft Exchange Server 2003

中等

以上 评估是基于受该漏洞影响的系统类型、其典型部署模式以及利用该漏洞会对它们产生什么影响而作出的。

漏洞标识符：CAN-2003-0904

变通办法

Microsoft 已测试了适用于此漏洞的以下变通办法。这些变通办法有助于封堵已知的攻击矛头。不过，它们不会从根本上消除漏洞。在某些情况下，变通办法可能会导致功能下降；下面就此类情况进行了说明。

1. 在 Exchange Server 2003 前端服务器上禁用 HTTP 连接重用。
   默认情况下，Exchange Server 2003 可重复使用前端和后端服务器之间的 HTTP 连接，以获取更高的性能。在 Exchange 前端服务器上，可以关闭连接重复使用功能。虽然这样做可能会引起一些性能降级，但它是对付此漏洞的一个有效的变通方法。在您将此更新应用到 Exchange Server 2003 前端服务器之后，可以取消此变通办法。

   请参见以下 Microsoft 知识库文章，以获取有关如何在 OWA 中禁用连接重复使用的信息：832749如何在 Microsoft Exchange Server 2003 前端服务器上禁用 HTTP 连接重用

   变通办法的影响：客户端使用 OWA 访问其邮箱时会有轻微的性能降级。

2. 在将 OWA 托管在 Exchange Server 2003 后端服务器上的虚拟服务器上启用 Kerberos。
   可以暴露此漏洞的唯一已知的情况是：将 Outlook Web Access 托管在后端服务器上的 Internet 信息服务虚拟服务器禁用了 Kerberos。当将 Windows SharePoint Services (WSS) 2.0 安装在此同一虚拟服务器上时，就会出现此配置更改。

   请参见以下 Microsoft 知识库文章，以获取有关在安装 WSS 之后如何在 IIS 中启用 Kerberos 的信息：832769 如何配置 Windows SharePoint Services 以使用 Kerberos 身份验证.

   请参见以下 Microsoft 知识库文章，以获取有关在安装 WSS 之后如何重新启用 OWA 和其他 Exchange 组件的信息：823265 在浏览 Exchange Server 2003 客户端时出现“找不到页面”错误消息.

   变通办法的影响：无

常见问题解答

该漏洞的范围有多大？
使用 Outlook Web Access for Exchange Server 2003 访问其邮箱的用户可以连接到另一用户的邮箱。企图利用此漏洞的攻击者无法预料他们会连接到哪一个邮箱，也不知道他们是否根本不能连接到另一个用户的邮箱。此漏洞会引起对邮箱的随机且不可靠的访问，并且此漏洞只限于最近通过 OWA 被访问过的邮箱。当在 Exchange 前端服务器配置中使用了 OWA，而且将 OWA 托管在后端 Exchange 服务器上的 IIS Web 站点禁用了 Kerberos 身份验证方法时，将发生此行为。默认情况下，Kerberos 身份验证被用作 Exchange Server 2003 前端和后端 Exchange 服务器之间的 HTTP 身份验证方法。

只有在 Exchange 后端服务器上运行 Exchange Server 2003 程序的 Web 站点已经配置为不使用 Kerberos 身份验证，并且 OWA 正在使用 NTLM 身份验证时，才会暴露此漏洞。当 Microsoft Windows SharePoint Services 安装在同时也作为 Exchange Server 2003 后端的 Windows Server 2003 服务器上时，就会出现这一配置更改。

此漏洞因何而起？
如果后端服务器在运行 Windows Server 2003，则当 Exchange 2003 前端服务器和 Exchange 2003 后端服务器之间使用 NTLM 身份验证时，HTTP 连接的重复使用会导致出现此漏洞。

尽管在 Exchange Server 2003 前端组件向后端 Exchange 服务器进行身份验证时默认情况下启用并且使用 Kerberos，但有些情况下会在后端服务器上明确禁用 Kerberos 身份验证，导致只有 NTLM 身份验证可用。

什么是 Outlook Web Access？
Outlook Web Access 是 Exchange Server 的一项功能。通过使用 OWA，运行 Exchange Server 的服务器还能用作 Web 站点，让授权用户能够使用 Web 浏览器通过 Internet 读取或发送电子邮件、管理他们的日历或执行其他邮件功能。

OWA 可以部署在 Exchange 前端/后端服务器配置中。

什么是前端和后端 Exchange 服务器？
可以以适当的方式 部署 Exchange，以便在多个服务器上有邮箱的最终用户都可以连接到单个前端 Exchange 服务器。此前端服务器然后将连接到实际存储着邮箱的相应的后端服务器（此过程叫做“代理”）。

什么是 Kerberos 和 NTLM？
Kerberos 和 NTLM 是两种不同的身份验证协议。Kerberos 是首选的 Windows 身份验证协议。只要有可能就会使用它，而且它是 Exchange Server 2003 针对前端和后端 Exchange 服务器之间的 Outlook Web Access 使用的默认协议。当 Kerberos 身份验证不可用时，可以将 NTLM 作为替代的身份验证方法。

我如何验证是否为 Outlook Web Access 启用了 Kerberos？
默认情况下，Kerberos 对于 OWA for Exchange Server 2003 是启用的。不过，因为 Internet 信息服务是托管 OWA 的 Windows 组件，所以可以检查 IIS 服务器的配置来确定是否启用了 Kerberos。若要检查 IIS 身份验证设置，请查看 Exchange 后端服务器上的 IIS 元数据库。为此，请使用以下命令行命令：

• cscript.exe %SystemDrive%\inetpub\adminscripts\adsutil.vbs get w3svc/NTAuthenticationProviders

  -或-

• cscript.exe %SystemDrive%\inetpub\adminscripts\adsutil.vbs get w3svc/1/root/NTAuthenticationProviders

如果只返回了“NTLM”这一值，则可能是出现了问题。正确的应答是：

• "The parameter 'NTAuthenticationProviders' is not set at this node."

  -或-

• "Negotiate, NTLM"

negotiate 一词用于描述 HTTP 上的 Kerberos 身份验证。

请参见以下 Microsoft 知识库文章，以获取有关在安装 WSS 之后如何在 IIS 中启用 Kerberos 的信息： 832769 如何配置 Windows SharePoint Services 以使用 Kerberos 身份验证。

我没有更改 Exchange 服务器上的任何默认安全设置。是否还有其他情况会在 Exchange 服务器上托管着 Exchange 程序的 Web 站点上禁用 Kerberos？
是的。当 Microsoft Internet 信息服务虚拟服务器扩展为包括 Windows SharePoint Services 时，该虚拟服务器会随之配置为使用集成 Windows 身份验证（以前叫 NTLM 或 Windows NT 质询/响应身份验证）并明确禁用 Kerberos 身份验证。如果已经将 Windows SharePoint Services (WSS) 安装在了与一个运行 Windows Server 2003 的 Exchange Server 2003 后端相同的服务器上，则在托管 Exchange 程序的 Web 站点上可能已经禁用了 Kerberos。

请参见以下 Microsoft 知识库文章，以获取有关在安装 WSS 之后如何为 OWA 重新启用 Kerberos 的信息：832769 如何配置 Windows SharePoint Services 以使用 Kerberos 身份验证。

请参见以下 Microsoft 知识库文章，以获取有关在安装 WSS 之后如何重新启用 OWA 和其他 Exchange 功能的信息： 823265 在浏览 Exchange Server 2003 客户端时出现“找不到页面”错误消息。

哪些人可能利用该漏洞？
为了利用此漏洞，攻击者必须是在同一后端 Exchange 服务器上拥有邮箱的授权用户，并且该用户必须首先使用有效凭据通过 OWA 进行身份验证。

攻击者能够访问到哪个邮箱是随机的，并且无法预测。攻击者也不是必然能够连接到另一用户的邮箱。

攻击者能利用此漏洞做什么？
如果一个经过身份验证的用户获取了对同一 Exchange 系统上另一用户邮箱的访问权，就可以执行合法用户通过 OWA 执行的所有操作。这包括在用户的邮箱中阅读、发送和删除电子邮件。

受此漏洞威胁最大的系统是哪些？
只有那些通过 Microsoft Exchange Server 2003 前端/后端 配置访问 Outlook Web Access 的系统会受到此漏洞带来的风险。

另外，后端服务器必须在 Windows Server 2003 上运行 Exchange Server 2003，前端服务器运行的可以是 Windows 2000 或 Windows Server 2003。

即使我没有前端/后端服务器配置，我的 OWA 仍会受影响吗？
不会。与 Exchange 信息存储在同一服务器上的运行 OWA 的 Exchange 服务器不受影响；只有前端/后端 Exchange Server 2003 配置受此漏洞的影响。

我在运行 Small Business Server 2003，我会受此漏洞影响吗？
不会，默认情况下，Small Business Server 是单服务器安装，其 OWA 访问通过托管用户邮箱的服务器进行。只有前端/后端 Exchange Server 2003 配置受此漏洞的影响。

是否所有版本的 Exchange 和 Outlook Web Access 都易受此漏洞影响？
不，此漏洞仅影响 Outlook Web Access for Exchange Server 2003。

我应在哪些 Exchange 服务器上安装此更新？
此更新针对运行 Outlook Web Access for Microsoft Exchange Server 2003 的前端服务器。

You do not have to install this update on back-end Exchange servers or on front-end Exchange servers that are not providing OWA services. However, it is recommended that you install this update on all systems that are running Exchange Server 2003 so that you are protected if you later migrate a back-end server to the role of a front-end server.

Does the update introduce any behavioral changes?
您不必在后端 Exchange 服务器上或不提供 OWA 服务的前端 Exchange 服务器上安装此更新。不过，建议您将此更新安装到所有运行 Exchange Server 2003 的系统上，以便在以后将后端服务器迁移到前端服务器角色时可以得到保护。

此更新是否引入了行为上的变化？
是的。此更新改变了连接池，让使用 NTLM 进行身份验证的 HTTP 连接不添加到连接池中。OWA 最终用户一般不会看到此行为变化。

安全更新信息

安装平台和先决条件：

Exchange Server 2003（所有版本）

先决条件

此安全更新需要 Exchange Server 2003 的一个已发布版本。

包括在将来的 Service Packs 中：

此问题的修复程序将包括在 Exchange Server 2003 Service Pack 1 中。

安装信息

此安全更新支持以下安装开关：

/?	显示安装开关列表。
/u	使用无人参与模式（与 /m 一样）。
/m	使用无人参与模式（与 /u 一样）。
/f	关闭计算机时强制其他程序退出。
/n	不备份用于卸载的文件。
/o	不经提示即覆盖 OEM 文件。
/z	安装完成时不重新启动。
/q	使用安静模式（无用户交互）和无人参与模式（与 /u 或 /m 一样）。
/l	列出安装的修复程序。
/x	解压缩文件而不运行安装程序。

请参见 Microsoft 知识库文章 331646 以获取关于安装程序开关的其他信息。

部署信息

要在没有任何用户干预的情况下安装安全更新，请在命令提示符下使用以下命令行：

Exchange2003-kb832759-x86-enu /q

重新启动要求

在应用此更新后不必重新启动计算机。

不过，安装程序将重新启动 Internet 信息服务 (IIS) 和所有相关服务。因此，建议您在没有用户通过 Outlook Web Access 进行登录时应用此安全更新。而且，如果前端 Exchange 服务器同时还担当路由引擎和 SMTP 服务的角色，则 IIS 的重新启动将停止路由引擎和 SMTP 服务。因此，在重新启动 IIS 服务期间将不路由任何电子邮件。这包括传入和传出的 SMTP 电子邮件通信量。

请在 OWA 和 SMTP 电子邮件流的临时中断可以接受时应用此更新。

删除信息

要删除此更新，请使用“控制面板”中的“添加或删除程序”工具。

系统管理员可使用 Spuninst.exe 实用工具删除此安全更新。Spuninst.exe 实用工具位于 %Windir%\$ExchUninstall832759$\文件夹中。Spuninst.exe 实用工具支持以下安装开关：

/?  显示安装开关列表。
/u  使用无人参与模式。
/f  当计算机关闭时强制其他程序退出。
/z  安装完成时不重新启动。
/q  使用安静模式（没有用户交互）。

文件信息

此修补程序的英语版具有下表所列的（或更新的）文件属性。这些文件的日期和时间按照协调通用时间 (UTC) 列出。当您查看文件信息时，它将转换为本地时间。要了解 UTC 和本地时间之间的时差，可使用“控制面板”的“日期和时间”工具中的“时区”选项卡。

Exchange Server 2003 Enterprise Edition and Exchange Server 2003 Standard Edition:

Date	Time	Version	Size	File Name
19-Dec-2003	18:35	6.5.6980.57	396800	exprox.dll

验证更新安装

要验证您的计算机上是否安装了安全更新，请使用 Microsoft 基准安全分析器 (MBSA) 工具。有关 MBSA 的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中的文章：

320454 Microsoft 基准安全分析器 1.1.1 版现已发布

您还可以通过查看以下注册表项验证此安全更新安装了哪些文件：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange Server 2003\SP1\832759

注意 如果管理员或 OEM 将 832759 安全更新集成或后期集成到 Windows 安装源文件中，此注册表项可能未正确创建。

下载地址：http://download.microsoft.com/download/4/0/4/4041a0f6-aa45-4892-b555-0aa838e32d19/Exchange2003-KB832759-x86-chs.exe