Se encontró una nueva vulnerabilidad en Microsoft Exchange Server 2013, 2016 y 2019. Esta nueva vulnerabilidad se llama PrivExchange y en realidad es una vulnerabilidad de día cero.
Aprovechando este agujero de seguridad, un atacante puede obtener privilegios de administrador de controlador de dominio utilizando las credenciales de un usuario de buzón de Exchange con la ayuda de una sencilla herramienta de Python.
Esta nueva vulnerabilidad fue destacada por un investigador Dirk-Jan Mollema en su blog personal Hace una semana. En su blog, revela información importante sobre la vulnerabilidad de día cero de PrivExchange.
Él escribe que este no es un solo defecto si se compone de 3 componentes que se combinan para escalar el acceso de un atacante desde cualquier usuario con un buzón de correo al Administrador de dominio.
Estos tres defectos son:
- Los servidores Exchange tienen (demasiado) altos privilegios de forma predeterminada
- La autenticación NTLM es vulnerable a los ataques de retransmisión
- Exchange tiene una función que hace que se autentique ante un atacante con la cuenta de computadora del servidor de Exchange.
Según el investigador, todo el ataque se puede realizar utilizando las dos herramientas llamadas privexchange .py y ntlmrelayx. Sin embargo, el mismo ataque es posible si un atacante carece de las credenciales de usuario necesarias.
En tales circunstancias, el httpattack.py modificado se puede utilizar con ntlmrelayx para realizar el ataque desde una perspectiva de red sin ninguna credencial.
Cómo mitigar las vulnerabilidades de Microsoft Exchange Server
Microsoft aún no ha propuesto parches para corregir esta vulnerabilidad de día cero. Sin embargo, en la misma publicación del blog, Dirk-Jan Mollema comunica algunas mitigaciones que se pueden aplicar para proteger el servidor de los ataques.
Las mitigaciones propuestas son:
- Impedir que los servidores de intercambio establezcan relaciones con otras estaciones de trabajo
- Eliminando la clave de registro
- Implementación de la firma SMB en servidores Exchange
- Eliminar privilegios innecesarios del objeto de dominio de Exchange
- Habilitación de la protección extendida para la autenticación en los puntos finales de Exchange en IIS, excluyendo los de Exchange Back End porque esto rompería Exchange).
Además, puede instalar uno de estas soluciones antivirus para Microsoft Server 2013.
Los ataques de PrivExchange se han confirmado en las versiones completamente parcheadas de los controladores de dominio de servidores de Exchange y Windows como Exchange 2013, 2016 y 2019.
PUBLICACIONES RELACIONADAS PARA VERIFICAR:
- Los 5 mejores programas antispam para su servidor de correo electrónico Exchange
- 5 de los mejores software de privacidad de correo electrónico para 2019