V Microsoft Exchange Server 2013, 2016 a 2019 byla nalezena nová chyba zabezpečení. Tato nová chyba zabezpečení se nazývá PrivExchange a je ve skutečnosti zranitelností nulového dne.
Útočník, který využije tuto bezpečnostní díru, může získat oprávnění správce řadiče domény pomocí přihlašovacích údajů uživatele poštovní schránky serveru Exchange pomocí jednoduchého nástroje v jazyce Python.
Tuto novou chybu zabezpečení zdůraznil výzkumník Dirk-Jan Mollema jeho osobní blog před týdnem. Ve svém blogu zveřejňuje důležité informace o zranitelnosti nulového dne PrivExchange.
Píše, že se nejedná o jedinou chybu, ať už sestává ze 3 komponent, které jsou kombinovány tak, aby eskalovaly přístup útočníka z jakéhokoli uživatele s poštovní schránkou na správce domény.
Tyto tři nedostatky jsou:
- Servery Exchange mají ve výchozím nastavení (příliš) vysoká oprávnění
- Ověřování NTLM je citlivé na přenosové útoky
- Exchange má funkci, díky které se autentizuje k útočníkovi pomocí účtu počítače na serveru Exchange.
Podle výzkumníka lze celý útok provést pomocí dvou nástrojů s názvem privexchange .py a ntlmrelayx. Stejný útok je však stále možný, pokud jde o útočníka
chybí potřebná pověření uživatele.Za takových okolností lze modifikovaný httpattack.py použít s ntlmrelayx k provedení útoku ze síťové perspektivy bez jakýchkoli pověření.
Jak zmírnit chyby zabezpečení serveru Microsoft Exchange Server
Společnost Microsoft zatím nenavrhuje žádné opravy této chyby zabezpečení. Ve stejném blogovém příspěvku však Dirk-Jan Mollema komunikuje některá zmírnění, která lze použít k ochraně serveru před útoky.
Navrhovaná zmírnění jsou:
- Blokování výměnných serverů v navazování vztahů s jinými pracovními stanicemi
- Vyloučení klíče registru
- Implementace podepisování SMB na serverech Exchange
- Odebrání zbytečných oprávnění z objektu domény Exchange
- Povolení rozšířené ochrany pro ověřování na koncových bodech Exchange ve službě IIS, s výjimkou koncových bodů Exchange, protože by to narušilo Exchange).
Dále můžete nainstalovat jednu z tato antivirová řešení pro Microsoft Server 2013.
Útoky PrivExchange byly potvrzeny na plně opravených verzích řadičů domény Exchange a Windows, jako jsou Exchange 2013, 2016 a 2019.
SOUVISEJÍCÍ PŘÍSTAVY K ODHLÁŠENÍ:
- 5 nejlepších anti-spamových programů pro váš e-mailový server Exchange
- 5 nejlepšího softwaru pro ochranu e-mailů pro rok 2019
