Microsoft Exchange Server 2019: SSRF-уязвимость CVE-2026-45504 позволяет читать произвольные файлы

Microsoft Exchange Server

В Microsoft Exchange Server 2019 обнаружена критическая уязвимость CVE-2026-45504, связанная с подделкой серверных запросов (SSRF). Она позволяет аутентифицированным пользователям с низкими привилегиями читать произвольные файлы на уязвимом сервере. Уязвимость получила оценку 8,8 балла по шкале CVSS, что указывает на высокую степень опасности. Проблему выявил исследователь Батухан Эр из компании HawkTrace. Корень уязвимости - некорректная проверка внешних URL в компоненте OneDriveProUtilities, используемом при интеграции Web Application Open Platform Interface (WOPI).

Уязвимость CVE-2026-45504

Механизм атаки основан на том, что Exchange доверяет значению WebApplicationUrl, полученному от удалённого сервера. При генерации веб-токенов WAC (Web Application Companion) сервер обрабатывает пользовательские входные данные без должной санитизации. В методе TryTwice, который выполняет HTTP-запросы, напрямую используется атакующий URL, переданный в качестве параметра. Злоумышленник может подменить ответ сервера и указать в качестве WebApplicationUrl путь вида "file:///C:/Windows/win.ini#". Символ "#" в конце URI заставляет парсер игнорировать последующие OAuth-параметры, которые добавляет Exchange. В результате сервер инициирует FileWebRequest и возвращает содержимое локального файла атакующему.

Цепочка эксплуатации начинается с создания вредоносной ссылки на вложение через Exchange Web Services (EWS). Пользователь с низкими привилегиями формирует ссылку, указывающую на контролируемый им ProviderEndpointUrl. Когда другое лицо открывает или просматривает такое вложение, Exchange отправляет внутренний запрос к серверу атакующего по пути "/_api/SP.Utilities.WOPIHostUtility.GetWopiTargetPropertiesByUrl". Атакующий отвечает подставленным файловым URI, после чего Exchange выполняет чтение произвольного файла с диска. Таким образом можно получить доступ к конфигурационным файлам, учётным данным и системным данным.

Исследователи уже опубликовали рабочий прототип эксплойта (PoC), который демонстрирует атаку с использованием аутентифицированных учётных данных. Команда запуска выглядит следующим образом:

PoC подтверждает, что уязвимость реально воспроизводится в лабораторных условиях.

Ключевая техническая причина - отсутствие проверки схемы URL в поле WebApplicationUrl. Microsoft не предусмотрела строгую валидацию перед передачей значения в функции обработки файлов, что позволяет использовать протокол "file://" и аналогичные. Уязвимость затрагивает только Exchange Server 2019; более ранние версии и Exchange Online не подвержены проблеме. Тем не менее для организаций, использующих локальные развёртывания, риск остаётся высоким, поскольку злоумышленник, уже имеющий учётную запись в домене, может читать любые файлы, доступные процессу Exchange.

Эксперты рекомендуют до выхода официального патча принять временные меры. В первую очередь необходимо внедрить строгую валидацию URL-схем на уровне прокси или файрвола, блокируя запросы с "file://" к внутренним сервисам. Также стоит усилить мониторинг необычной активности EWS - например, создание вложений со ссылками на внешние ресурсы. Если возможно, следует ограничить доступ к службам Exchange только для доверенных подсетей. После выхода обновления Microsoft его нужно установить немедленно.

Microsoft пока не выпустила официальный бюллетень с патчем для CVE-2026-45504. По сообщению исследователя, компания была уведомлена об уязвимости заблаговременно. Временные меры защиты описаны в рекомендациях HawkTrace. Ситуация напоминает другие недавние случаи SSRF-уязвимостей в серверных продуктах, где недостаточная проверка входящих URI приводила к чтению локальных файлов. Для Exchange это особенно критично из-за широкого распространения платформы в корпоративной среде.

Пользователям Exchange Server 2019 рекомендуется следить за обновлениями Microsoft и применить патч сразу после его появления. До тех пор основная защита - контроль за доступом к EWS и блокировка подозрительных URL в SSL-инспекции. Уязвимость показывает, как даже низкопривилегированный пользователь может стать вектором серьёзной атаки, если внутренние компоненты не проверяют источник URL.

Ссылки

Комментарии: 0