W Microsoft Exchange Server 2013, 2016 i 2019 została odkryta nowa podatność. Nowa luka nazywa się PrivExchange i jest w rzeczywistości podatnością na zero dni.

Korzystając z tej luki w zabezpieczeniach, osoba atakująca może uzyskać uprawnienia administratora kontrolera domeny przy użyciu poświadczeń użytkownika skrzynki pocztowej wymiany za pomocą prostego narzędzia Python.

Tę nową lukę w zabezpieczeniach podkreślił badacz Dirk-Jan Mollema na swoim osobistym blogu tydzień temu. Na swoim blogu ujawnia ważne informacje o luce zero-day w PrivExchange.

Pisze, że nie jest to jedna wada, czy składa się z 3 komponentów, które są połączone w celu eskalacji dostępu atakującego od dowolnego użytkownika ze skrzynką pocztową do Administratora domeny.

Te trzy wady to:

• Serwery Exchange mają domyślnie (zbyt) wysokie uprawnienia
• Uwierzytelnianie NTLM jest podatne na ataki typu przekaźnik
• Exchange ma funkcję, która sprawia, że ​​uwierzytelnia się on wobec osoby atakującej przy użyciu konta komputera serwera Exchange.

Według badacza cały atak można wykonać za pomocą dwóch narzędzi o nazwie privexchange.py i ntlmrelayx. Jednak ten sam atak jest nadal możliwy, jeśli atakującemu brakuje niezbędnych poświadczeń użytkownika.

W takich okolicznościach zmodyfikowany plik httpattack.py może zostać wykorzystany z ntlmrelayx do przeprowadzenia ataku z perspektywy sieci bez żadnych poświadczeń.

Jak zminimalizować luki w zabezpieczeniach Microsoft Exchange Server

Microsoft nie zaproponował jeszcze łatek do naprawy tej luki zero-day. Jednak w tym samym poście na blogu Dirk-Jan Mollema informuje o pewnych ograniczeniach, które można zastosować w celu ochrony serwera przed atakami.

Proponowane środki zaradcze to:

• Blokowanie serwerów wymiany przed nawiązaniem relacji z innymi stacjami roboczymi
• Eliminowanie klucza rejestru
• Implementowanie podpisywania SMB na serwerach Exchange
• Usuwanie niepotrzebnych uprawnień z obiektu domeny Exchange
• Włączanie rozszerzonej ochrony dla uwierzytelniania na punktach końcowych Exchange w IIS, z wyłączeniem tych zaplecza Exchange, ponieważ spowodowałoby to uszkodzenie Exchange).

Ponadto możesz zainstalować jedno z tych rozwiązań antywirusowych dla Microsoft Server 2013.

Ataki PrivExchange zostały potwierdzone na w pełni załatanych wersjach kontrolerów domen serwerów Exchange i Windows, takich jak Exchange 2013, 2016 i 2019.