据安全研究人员称,可以利用运行 Microsoft Office Online Server的Windows服务器来实现服务器端请求伪造(SSRF),然后在主机上实现远程代码执行(RCE)。来自MDSec的研究人员表示,他们已将他们的发现通知了Microsoft安全响应中心,但被告知该易受攻击的行为不是错误,而是Office Online Server的一个功能,因此不会修复。
根据MDSec的说法,微软建议管理员“锁定该服务器场上的端口和任何帐户,使其具有最低权限”,以避免对连接Internet的Office Online主机的攻击。
管理员还可以将服务的OpenFromUNCEnabled标志设置为false,以防止通过UNC路径访问文件,这是用于攻击服务器的功能。
Office Online Server是一项ASP.NET服务,它提供基于浏览器的Word、Excel、PowerPoint和OneNote 版本。Office Online通过SharePoint、Exchange Server、共享文件夹和网站提供对Office文件的访问。
Office Online有一个.aspx页面,用于从远程资源中检索文档。根据安全公司MDSec的技术文章,攻击者可以使用此端点通过服务器发起与远程资源的连接并执行SSRF。
例如,研究人员发现他们可以向页面发送未经身份验证的GET请求,以对服务器本地网络的设备进行指纹识别。根据响应的时间,他们可以识别服务器网络中的活动IP地址。
如果攻击者控制了Office Online Server可以访问的SMB服务器,他们可以进一步利用该漏洞。
Office Online Server使用其计算机帐户来启动与远程资源的连接。当使用端点检索其SMB服务器上的文档时,研究人员可以使用工具ntlmrelayx强制服务器将连接中继到Active Directory证书服务(ACDS)并检索Active Directory网络的客户端证书。
使用此证书,他们能够获得到Office Online Server主机的Ticket-Granting Ticket(TGT) - 一个登录会话令牌。他们使用TGT发送S4U2Self请求以向服务器伪造服务票证。这使他们能够获得对主机的本地管理员访问权限。
根据研究人员的发现,还有另一种途径可以通过将端点连接中继到LDAP服务并执行影子凭证攻击来获得对服务器的远程访问。
评论已关闭。