In Microsoft Exchange Server 2013, 2016 und 2019 wurde eine neue Schwachstelle gefunden. Diese neue Schwachstelle heißt PrivExchange und ist eigentlich eine Zero-Day-Schwachstelle.
Durch Ausnutzung dieser Sicherheitslücke kann ein Angreifer mithilfe eines einfachen Python-Tools mithilfe der Anmeldeinformationen eines Exchange-Postfachbenutzers Domänencontroller-Administratorrechte erlangen.
Diese neue Schwachstelle wurde von einem Forscher Dirk-Jan Mollema auf sein persönlicher Blog vor einer Woche. In seinem Blog veröffentlicht er wichtige Informationen zur Zero-Day-Schwachstelle von PrivExchange.
Er schreibt, dass dies kein einziger Fehler ist, egal ob es sich um 3 Komponenten handelt, die kombiniert werden, um den Zugriff eines Angreifers von jedem Benutzer mit einem Postfach zum Domänenadministrator zu eskalieren.
Diese drei Mängel sind:
- Exchange Server haben standardmäßig (zu) hohe Privilegien
- Die NTLM-Authentifizierung ist anfällig für Relay-Angriffe
- Exchange verfügt über eine Funktion, die es ermöglicht, sich bei einem Angreifer mit dem Computerkonto des Exchange-Servers zu authentifizieren.
Der gesamte Angriff kann laut dem Forscher mit den beiden Tools privexchange .py und ntlmrelayx durchgeführt werden. Derselbe Angriff ist jedoch immer noch möglich, wenn ein Angreifer fehlen die erforderlichen Benutzeranmeldeinformationen.
Unter solchen Umständen kann modifizierte httpattack.py mit ntlmrelayx verwendet werden, um den Angriff aus einer Netzwerkperspektive ohne Anmeldeinformationen durchzuführen.
So verringern Sie die Schwachstellen von Microsoft Exchange Server
Von Microsoft wurden noch keine Patches zur Behebung dieser Zero-Day-Sicherheitslücke vorgeschlagen. Im selben Blogbeitrag kommuniziert Dirk-Jan Mollema jedoch einige Gegenmaßnahmen, die angewendet werden können, um den Server vor den Angriffen zu schützen.
Die vorgeschlagenen Abschwächungen sind:
- Blockieren von Exchange-Servern am Aufbau von Beziehungen zu anderen Workstations
- Entfernen des Registrierungsschlüssels
- Implementieren der SMB-Signatur auf Exchange-Servern
- Entfernen unnötiger Berechtigungen aus dem Exchange-Domänenobjekt
- Aktivieren des erweiterten Schutzes für die Authentifizierung auf den Exchange-Endpunkten in IIS, mit Ausnahme der Exchange-Back-Ends, da dies Exchange beschädigen würde).
Zusätzlich können Sie einen von diese Antivirenlösungen für Microsoft Server 2013.
Die PrivExchange-Angriffe wurden auf den vollständig gepatchten Versionen von Exchange- und Windows-Server-Domänencontrollern wie Exchange 2013, 2016 und 2019 bestätigt.
VERWANDTE POSTS, DIE SIE CHECKEN:
- 5 beste Anti-Spam-Software für Ihren Exchange-E-Mail-Server
- 5 der besten E-Mail-Datenschutzsoftware für 2019