Microsoft Exchange Server 2013, 2016 ja 2019 on leitud uus haavatavus. Seda uut haavatavust nimetatakse PrivExchange ja on tegelikult nullipäevane haavatavus.
Selle turvaaugu ära kasutades saab ründaja lihtsa Pythoni tööriista abil omandada domeenikontrolleri administraatoriõigused, kasutades vahetuspostkasti kasutaja mandaate.
Selle uue haavatavuse rõhutas uurija Dirk-Jan Mollema tema isiklik ajaveeb nädal tagasi. Oma ajaveebis avaldab ta olulist teavet PrivExchange'i nullpäevase haavatavuse kohta.
Ta kirjutab, et see pole üks viga, kas see koosneb kolmest komponendist, mis on kombineeritud, et suurendada ründaja juurdepääsu postkastiga kasutajale domeeniadministraatorile.
Need kolm viga on:
- Exchange Serveritel on vaikimisi (liiga) kõrged privileegid
- NTLM-i autentimine on relee rünnakute suhtes haavatav
- Exchange'il on funktsioon, mis muudab selle ründaja jaoks autentimiseks Exchange'i serveri arvutikontoga.
Teadlase sõnul saab kogu rünnaku sooritada kahe tööriista nimega privexchange .py ja ntlmrelayx. Kuid sama rünnak on endiselt võimalik, kui ründaja puudub vajalik kasutaja mandaat.
Sellistes tingimustes saab modifitseeritud httpattack.py-d ntlmrelayx-iga kasutada rünnaku teostamiseks võrgu vaatenurgast ilma mandaatideta.
Kuidas leevendada Microsoft Exchange Serveri haavatavusi
Selle nullpäevase haavatavuse parandamiseks pole Microsoft veel pakkunud ühtegi plaastrit. Dirk-Jan Mollema teatab samas blogipostituses siiski mõningaid leevendusi, mida saab rakendada serveri kaitsmiseks rünnakute eest.
Kavandatud leevendused on järgmised:
- Vahetusserverite blokeerimine suhete loomisel teiste tööjaamadega
- Registrivõtme kõrvaldamine
- SMB-allkirjastamise rakendamine Exchange'i serverites
- Ebavajalike õiguste eemaldamine Exchange'i domeeni objektilt
- Laiendatud kaitse lubamine autentimiseks IIS-i Exchange'i lõpp-punktides, välja arvatud Exchange'i tagumised, kuna see lõhuks Exchange'i).
Lisaks saate installida ühe need viirusetõrje lahendused Microsoft Server 2013 jaoks.
PrivExchange'i rünnakud on kinnitatud Exchange'i ja Windowsi serverite domeenikontrollerite täielikult lappitud versioonidele, nagu Exchange 2013, 2016 ja 2019.
SEOTUD POSTITUSED:
- 5 parimat rämpspostitõrjetarkvara teie Exchange'i e-posti serveri jaoks
- 5 parimat e-posti privaatsustarkvara 2019. aastaks
