Изследователи по сигурността от HawkTrace разкриха технически подробности за критична уязвимост от тип Server-Side Request Forgery (SSRF) в Microsoft Exchange, проследявана като CVE-2026-45504.
Уязвимостта, която има CVSS оценка от 8.8, позволява на удостоверени потребители с ниски привилегии да четат произволни файлове от уязвимите Exchange сървъри, което поражда сериозни опасения за компаниите, разчитащи на локални (on-premises) инсталации.
Microsoft Exchange се използва широко за корпоративна електронна поща, календари и съвместна работа. Поради централната му роля при обработката на чувствителни комуникации, уязвимостите, които позволяват неоторизиран достъп до данни, могат да имат сериозно въздействие. В този случай проблемът се крие в начина, по който Exchange обработва външни URL адреси по време на преглед на прикачени файлове и при интегриране с услуги на SharePoint.
Според анализа на HawkTrace, уязвимостта произлиза от компонента OneDriveProUtilities, по-конкретно в функции като TryTwice и GetWacUrl. Тези функции правят HTTP заявки за извличане на WOPI (Web Application Open Platform Interface) данни и токени за достъп за преглед на документи.
Основният проблем е, че контролираните от потребителя входни данни се подават директно на WebRequest.CreateHttp без достатъчно валидиране. Атаката започва, когато удостоверен потребител създаде специално модифициран прикачен файл с препратка, използвайки Exchange Web Services (EWS). Този прикачен файл включва ProviderEndpointUrl, сочещ към сървър под контрола на атакуващия. Когато жертвата осъществи достъп или прегледа прикачения файл, Exchange сървърът инициира заявка от задната система (backend request) към сървъра на атакуващия, за да извлече WOPI метаданни. След това атакуващият отговаря със злонамерена стойност за WebApplicationUrl. Вместо да върне стандартен HTTP или HTTPS URL, отговорът включва URI на файл, като например file:///C:/Windows/win.ini.
Обикновено допълнителните параметри на заявката, добавени от Exchange, биха развалили файловия път. Изследователите обаче демонстрираха лесно заобикаляне, използвайки символа за фрагмент (#). Чрез връщане на полезен товар като file:///C:/Windows/win.ini#, всичко добавено след фрагмента се игнорира, позволявайки на системата да обработи правилно локалния файлов път. В резултат на това Exchange неволно извършва FileWebRequest към локалната файлова система и връща съдържанието на файла на атакуващия. Това ефективно превръща SSRF уязвимостта в примитив за четене на произволни файлове, позволяващ достъп до чувствителни системни файлове като конфигурационни данни, идентификационни данни и вътрешна сервизна информация.
Основната причина за проблема е липсата на валидиране на схемата на URL адресите, върнати от WOPI крайните точки. Exchange се доверява на отговора и не ограничава схеми, различни от HTTP, като например file://, които никога не трябва да се разрешават в този контекст. Това нарушение на границата на доверие позволява на атакуващите да преминат от контролирана външна заявка към достъп до вътрешни файлове.
HawkTrace също така публикува и публичен proof-of-concept (PoC) експлойт в GitHub, демонстриращ как уязвимостта може да бъде експлоатирана в реални сценарии. PoC автоматизира процеса чрез настройка на злонамерен сървър, удостоверяване пред Exchange и извличане на произволни файлове като системния hosts файл.
За да смекчат този проблем, организациите трябва да приложат актуализациите за сигурност, предоставени от Microsoft, и да ограничат Exchange сървърите от изпращане на изходящи заявки към ненадеждни крайни точки. Правилното валидиране на URL схемите, особено блокирането на file:// и подобни протоколи, е от решаващо значение за предотвратяване на експлоатация.