Microsoft Exchange SSRF 漏洞详情及公开 PoC 漏洞利用一同发布
HawkTrace的安全研究人员披露了Microsoft Exchange中一个高严重服务器端请求伪造(SSRF)漏洞的技术细节,该漏洞被追踪为CVE-2026-45504。
HawkTrace的安全研究人员披露了Microsoft Exchange中一个高严重服务器端请求伪造(SSRF)漏洞的技术细节,该漏洞被追踪为CVE-2026-45504。
该漏洞的CVSS评分为8.8,允许认证的低权限用户读取易受攻击的Exchange服务器上的任意文件,这对依赖本地部署的企业提出了严重担忧。
Microsoft Exchange 被广泛用于企业电子邮件、日历管理和协作。由于其在处理敏感通信中的核心角色,允许未经授权访问数据的漏洞可能带来重大影响。
在这种情况下,问题出在Exchange在附件预览和与SharePoint服务集成时处理外部URL的方式。
根据HawkTrace分析,该漏洞源自OneDriveProUtilities组件,特别是在TryTwice和GetWacUrl等函数中。
这些函数会发出HTTP请求,以获取WOPI(Web应用开放平台接口)数据和访问令牌以进行文档预览。
Exchange SSRF 漏洞被公开PoC利用
核心问题在于用户控制的输入直接传递到WebRequest.CreateHttp,而没有足够的验证。
攻击始于经过认证的用户使用Exchange Web Services(EWS)创建专门制作的参考附件。
该附件包含指向攻击者控制服务器的 ProviderEndpointUrl。当受害者访问或预览附件时,Exchange 服务器会向攻击者服务器发起后端请求,以获取 WOPI 元数据。
攻击者随后会以恶意的WebApplicationUrl值进行回应。响应不返回标准的 HTTP 或 HTTPS URL,而是包含如 file:///C:/Windows/win.ini 这样的文件 URI。
通常,Exchange 附加的额外查询参数会破坏文件路径。然而,研究人员展示了利用片段特征(#)进行简单绕过的方法。
通过返回如 file:///C:/Windows/win.ini# 这样的有效载荷,片段之后添加的所有内容都被忽略,从而使系统能够正确处理本地文件路径。
因此,Exchange 在不知情的情况下向本地文件系统执行了 FileWebRequest,并将文件内容返回给攻击者。
这实际上将SSRF漏洞转化为任意文件读取原语,使得访问配置文件、凭证和内部服务信息等敏感系统文件成为可能。
问题的根本原因是 WOPI 端点返回的 URL 缺乏方案验证。Exchange 信任响应,不限制像 file:// 这样的非 HTTP 方案,因为在这种情况下绝不应允许此类方案。
这种信任边界违规使攻击者能够从受控的外部请求转向内部文件访问。
HawkTrace还在GitHub上发布了公开的概念验证(PoC)漏洞,展示了该漏洞如何在现实场景中被利用。
PoC 通过搭建恶意服务器、向 Exchange 认证并请求任意文件(如系统主机文件)来自动化该过程。
披露强调了复杂企业软件中SSRF漏洞的持续风险。即使需要认证,低权限访问加上错误输入验证也可能导致大量数据暴露。
为缓解此问题,组织应应用Microsoft提供的安全更新,并限制Exchange服务器向不受信任的终端发出外部请求。
对URL方案进行正确验证,尤其是阻断 file:// 及类似协议,对于防止被利用至关重要。
详细研究和有效利用的发布增加了组织评估暴露情况并立即实施补丁的紧迫性,因为威胁行为者可能迅速采用这些技术进行定向攻击。


评论1次
看了一下这个CVE,核心就是利用WOPI回调那块的URL验证缺陷。认证用户能搞文件读取,配合#截断绕过的手法比较取巧,但说白了就是信任了不该信任的响应内容。
实际利用的话,门槛没有想象中那么低——需要Exchange认证账号。不过企业内网一旦拿到邮箱权限,横向到邮件服务器还是很顺的。关键是邮件服务器通常存储了大量敏感凭证和内部信息。
几个马上能做的:
PoC都公开了,改改参数直接能跑,真实攻击转化速度会比以前快很多。没打补丁的尽快上吧。