Нова уязвимост е открита в Microsoft Exchange Server 2013, 2016 и 2019. Тази нова уязвимост се нарича PrivExchange и всъщност е уязвимост от нулев ден.
Използвайки тази дупка в сигурността, нападателят може да получи администраторски права на Domain Controller, използвайки идентификационните данни на потребител на пощенска кутия за обмен с помощта на прост инструмент на Python.
Тази нова уязвимост беше подчертана от изследователя Дирк-Ян Молема на личния му блог преди седмица. В своя блог той разкрива важна информация за уязвимостта на нулевия ден на PrivExchange.
Той пише, че това не е нито един недостатък, независимо дали се състои от 3 компонента, които са комбинирани, за да ескалират достъпа на нападател от всеки потребител с пощенска кутия до Администратор на домейн.
Тези три недостатъка са:
- Exchange сървърите имат (твърде) високи привилегии по подразбиране
- NTLM удостоверяването е уязвимо за релейни атаки
- Exchange има функция, която го прави удостоверяващ за хакер с компютърния акаунт на Exchange сървъра.
Според изследователя цялата атака може да бъде извършена с помощта на двата инструмента, наречени privexchange .py и ntlmrelayx. Същата атака обаче все още е възможна, ако нападател липсват необходимите потребителски идентификационни данни.
При такива обстоятелства модифициран httpattack.py може да се използва с ntlmrelayx за извършване на атака от мрежова перспектива без никакви идентификационни данни.
Как да смекчим уязвимостите на Microsoft Exchange Server
Microsoft все още не е предложил корекции за отстраняване на тази уязвимост от нулев ден. В същия блог обаче Dirk-Jan Mollema съобщава някои смекчаващи мерки, които могат да бъдат приложени за защита на сървъра от атаките.
Предложените смекчаващи мерки са:
- Блокиране на сървърите за обмен от установяване на връзки с други работни станции
- Премахване на регистърния ключ
- Внедряване на SMB подписване на Exchange сървъри
- Премахване на ненужни привилегии от обекта на домейна на Exchange
- Активиране на разширена защита за удостоверяване на крайните точки на Exchange в IIS, с изключение на тези на Back Back End, защото това би нарушило Exchange).
Освен това можете да инсталирате един от тези антивирусни решения за Microsoft Server 2013.
Атаките на PrivExchange са потвърдени в напълно закърпените версии на Exchange и Windows Server Domain Controllers като Exchange 2013, 2016 и 2019.
СВЪРЗАНИ ПОСТИ ЗА ПРОВЕРКА:
- 5 най-добрият антиспам софтуер за вашия имейл сървър на Exchange
- 5 от най-добрия софтуер за поверителност на имейли за 2019 г.
