En ny sårbarhed er fundet i Microsoft Exchange Server 2013, 2016 og 2019. Denne nye sårbarhed kaldes PrivExchange og er faktisk en nul-dags sårbarhed.
Ved at udnytte dette sikkerhedshul kan en hacker få Domain Controller-administratorrettigheder ved hjælp af legitimationsoplysninger fra en udvekslingspostkassebruger ved hjælp af et simpelt Python-værktøj.
Denne nye sårbarhed blev fremhævet af en forsker Dirk-Jan Mollema den hans personlige blog en uge siden. I sin blog afslører han vigtige oplysninger om PrivExchange nul-dags sårbarhed.
Han skriver, at dette ikke er en eneste fejl, om det består af 3 komponenter, der kombineres for at eskalere en angribers adgang fra enhver bruger med en postkasse til Domain Admin.
Disse tre mangler er:
- Exchange-servere har (for) høje privilegier som standard
- NTLM-godkendelse er sårbar over for relæangreb
- Exchange har en funktion, der gør det godkendt til en hacker med Exchange-serverens computerkonto.
Ifølge forskeren kan hele angrebet udføres ved hjælp af de to værktøjer, der hedder privexchange .py og ntlmrelayx. Det samme angreb er dog stadig muligt, hvis en angriber
mangler de nødvendige brugeroplysninger.Under sådanne omstændigheder kan modificeret httpattack.py bruges sammen med ntlmrelayx til at udføre angrebet fra et netværksperspektiv uden legitimationsoplysninger.
Sådan afhjælpes Microsoft Exchange Server-sårbarheder
Microsoft har endnu ikke foreslået nogen programrettelser til løsning af denne nul-dags sårbarhed. Imidlertid kommunikerer Dirk-Jan Mollema i det samme blogindlæg nogle afbødninger, der kan anvendes til at beskytte serveren mod angrebene.
De foreslåede afbødninger er:
- Blokerer udvekslingsservere fra at etablere forbindelser med andre arbejdsstationer
- Fjernelse af registernøglen
- Implementering af SMB-signering på Exchange-servere
- Fjernelse af unødvendige privilegier fra Exchange-domæneobjektet
- Aktivering af udvidet beskyttelse til godkendelse på Exchange-slutpunkterne i IIS, undtagen Exchange Back End-dem, fordi dette ville bryde Exchange).
Derudover kan du installere en af disse antivirusløsninger til Microsoft Server 2013.
PrivExchange-angrebene er blevet bekræftet på de fuldt patchede versioner af Exchange- og Windows-servere Domain Controllers som Exchange 2013, 2016 og 2019.
RELATEREDE INDLÆG FOR AT KONTROLLERE:
- 5 bedste anti-spam software til din Exchange e-mail-server
- 5 af de bedste e-mail-fortrolighedssoftware i 2019
