Εντοπίστηκε μια νέα ευπάθεια στον Microsoft Exchange Server 2013, 2016 και 2019. Αυτή η νέα ευπάθεια ονομάζεται PrivExchange και στην πραγματικότητα είναι ευπάθεια μηδενικής ημέρας.
Εκμεταλλευόμενος αυτήν την τρύπα ασφαλείας, ένας εισβολέας μπορεί να αποκτήσει δικαιώματα διαχειριστή Domain Controller χρησιμοποιώντας τα διαπιστευτήρια ενός χρήστη γραμματοκιβωτίου ανταλλαγής με τη βοήθεια ενός απλού εργαλείου Python.
Αυτή η νέα ευπάθεια τονίστηκε από έναν ερευνητή Dirk-Jan Mollema στο το προσωπικό του blog πριν από μία εβδομάδα. Στο ιστολόγιό του, αποκαλύπτει σημαντικές πληροφορίες σχετικά με την ευπάθεια μηδενικής ημέρας PrivExchange.
Γράφει ότι αυτό δεν είναι ένα μόνο ελάττωμα εάν αποτελείται από 3 στοιχεία που συνδυάζονται για να κλιμακώσουν την πρόσβαση ενός εισβολέα από οποιονδήποτε χρήστη με γραμματοκιβώτιο στον Διαχειριστή τομέα.
Αυτά τα τρία ελαττώματα είναι:
- Οι διακομιστές Exchange έχουν (πάρα πολύ) υψηλά δικαιώματα από προεπιλογή
- Ο έλεγχος ταυτότητας NTLM είναι ευάλωτος σε επιθέσεις αναμετάδοσης
- Το Exchange διαθέτει μια δυνατότητα που την καθιστά αυθεντική σε έναν εισβολέα με τον λογαριασμό υπολογιστή του διακομιστή Exchange.
Σύμφωνα με τον ερευνητή, ολόκληρη η επίθεση μπορεί να πραγματοποιηθεί χρησιμοποιώντας τα δύο εργαλεία που ονομάζονται privexchange .py και ntlmrelayx. Ωστόσο, η ίδια επίθεση είναι ακόμα δυνατή εάν ένας εισβολέας δεν διαθέτει τα απαραίτητα διαπιστευτήρια χρήστη.
Σε τέτοιες περιπτώσεις, το τροποποιημένο httpattack.py μπορεί να χρησιμοποιηθεί με το ntlmrelayx για την εκτέλεση της επίθεσης από μια προοπτική δικτύου χωρίς καμία πιστοποίηση.
Πώς να μετριάσετε τις ευπάθειες του Microsoft Exchange Server
Δεν έχει προταθεί ακόμη ενημέρωση από την Microsoft για την επίλυση αυτής της ευπάθειας μηδενικής ημέρας. Ωστόσο, στην ίδια ανάρτηση ιστολογίου, ο Dirk-Jan Mollema κοινοποιεί ορισμένους μετριασμούς που μπορούν να εφαρμοστούν για την προστασία του διακομιστή από τις επιθέσεις.
Οι προτεινόμενοι μετριασμοί είναι:
- Αποκλεισμός των διακομιστών ανταλλαγής από τη δημιουργία σχέσεων με άλλους σταθμούς εργασίας
- Κατάργηση του κλειδιού μητρώου
- Εφαρμογή υπογραφής SMB σε διακομιστές Exchange
- Κατάργηση περιττών δικαιωμάτων από το αντικείμενο τομέα Exchange
- Ενεργοποίηση εκτεταμένης προστασίας για έλεγχο ταυτότητας στα τελικά σημεία του Exchange στις υπηρεσίες IIS, εξαιρουμένων εκείνων του Exchange Back End, επειδή αυτό θα διακόψει το Exchange).
Επιπλέον, μπορείτε να εγκαταστήσετε ένα από αυτά αυτές τις λύσεις προστασίας από ιούς για τον Microsoft Server 2013.
Οι επιθέσεις PrivExchange έχουν επιβεβαιωθεί στις πλήρως ενημερωμένες εκδόσεις του Exchange και των Windows Server Domain Controllers όπως το Exchange 2013, 2016 και 2019.
ΣΧΕΤΙΚΕΣ ΘΕΣΕΙΣ ΓΙΑ ΕΞΕΤΑΣΗ:
- 5 καλύτερα αντι-spam λογισμικό για τον διακομιστή email Exchange
- 5 από τα καλύτερα λογισμικά απορρήτου email για το 2019
